探究隨機數漏洞背後的技術原理:EOS.WIN競猜遊戲是如何被攻破的?
近一個月內,區塊鏈安全公司PeckShield 已經發現並披露了EOSBet、EOSCast、FFgame、EOSDice、EOSWin、MyEosVegas、LuckyGo、EOS Lelego 等超8款EOS 競猜類遊戲遭到了黑客攻擊,黑客總共獲利170,503.5個EOS,以此前行情均價35元/個估算,黑客已從此類遊戲上獲利超5,967,662.5元,已嚴重威脅到正常的EOS 生態秩序。
PeckShield 安全人員通過對多款遊戲的攻擊特徵進行提取,初步發現:1、攻擊者背後有不同黑客團夥在實施有組織且針對性的攻擊;2、大部分成功攻擊的原因都和隨機數漏洞有關;3、類似的攻擊有可能愈加頻繁,且他們的攻擊效率有逐漸提升的跡象。
由於絕大部分EOS 競猜類遊戲尚未開源,為了釐清隨機數漏洞背後的技術原理,摸清楚黑客屢屢攻擊得手的原因。 PeckShield 安全團隊以較為典型的EOS.WIN 遊戲為樣本進行了黑客視角還原,帶大家領略下隨機數漏洞攻擊背後的奧秘。
11月12日,據PeckShield 態勢感知平台數據顯示:上午08:59至09:00,不到一分鐘時間,黑客共計向EOS.WIN 遊戲合約(eosluckydice)發起10次攻擊,獲利超9,180個EOS 。 PeckShield 安全人員跟踪分析發現,黑客先是於昨晚22:46實施小額測試攻擊,在攻擊165次掌握攻擊方法後,選擇於次日9時許採用多個關聯賬號實施快速攻擊。儘管該款遊戲也採用了較為穩妥的兩次延遲交易(deferred transaction)的信息作為隨機數的組成部分,但是黑客仍然巧妙地繞過了這些限制,成功地實施了攻擊。
黑客攻擊原理及開獎過程:
圖片描述
圖片描述
(圖示1:DICE類遊戲開獎流程)
PeckShield 安全人員分析發現,該合約的隨機數是通過get_random 函數獲得,影響該隨機數生成的因素有:txid 為交易哈希ID, tapos_block_num成交塊高度, tapos_block_prefix 區塊ID 前綴, bet_id 全局開獎序號等。
為了進一步深入了解,先得科普幾個背景知識:
1、延遲交易與tapos_block_prefix:常見的隨機數生成方法中,大多使用tapos_block_num 和tapos_block_prefix 作為重要的組成部分,在交易中指定未來某個區塊的信息,來保證不可預測性。如果合約中使用了延遲交易的方式,也就是說在交易時(比如開獎)指定了延遲的間隔,看似是使用未來信息,其實在發出這個交易時,系統就已經指定使用當前同步到的最新塊(head_block)信息,進而tapos_block_num 和tapos_block_prefix 也是確定的。
2、交易狀態信息回滾:在EOS 的交易中,如果一個交易中的某個動作(action)執行異常,會導致整個交易狀態的回滾。例如在自己的帳號中部署合約,在每次收到轉賬通知(transfer receipt)時拋異常,可以導致整個轉賬過程失敗,所有的狀態信息,包括餘額等都保持原樣。
3、計算交易哈希ID:一個交易(transaction)中可以包含多個action,如果所有action 參數信息都確定,那麼再結合前面提到的tapos_block_prefix (ref_block_prefix) 信息,就能自己計算出交易哈希ID 。
簡而言之,攻擊者利用了開獎序號( bet_id)參與隨機數生成和內聯調用失敗可導致狀態信息回滾的特性,在同一時間控制多個合約帳號同時發送交易請求,來盡量保證最後請求的帳號能夠獲得期望的開獎序號參與生成隨機數,以贏得獎勵。以EOS.WIN 為例,攻擊者先是用5個賬號佯攻實施小金額投注,在掌握更高概率後,用最後1個金額最大的賬號主攻投注,從而以更高概率斬獲獎金。
具體攻擊過程如下(如下圖):
一、攻擊者部署了6個攻擊合約,調用攻擊方法時,在攻擊合約中同時讓這6個帳號發送交易請求,這樣這些請求將會在同一個塊中開獎,由於過程一致,開獎交易中的tapos_block_num 和tapos_block_prefix 是一樣的,只有bet_id可能不同。
二、攻擊者的前5個攻擊合約,在收到開獎通知時,能夠獲取到當前的bet_id,並判斷此id 能否讓最後的帳號中獎。
圖片描述
圖片描述
(圖示2:攻擊者多賬號實施攻擊過程)
獲獎概率:
從上述的開獎和攻擊過程可知,每增加一個佯攻的帳號,就多了一次提前計算最後主攻帳號能否獲獎的機會。按猜數選擇20來算賠率為5倍,6個帳號會提高中獎概率至大約74%,雖然仍無法保證每次攻擊必中獎,但攻擊者10次攻擊能中獎6次,已經是超高且擾亂正常遊戲的秩序的獲獎概率。
安全建議:
在諸如此類EOS.Win 的遊戲中隨機數受到攻擊者可控制的變量即遊戲開獎序號(bet_id)的影響,因此PeckShield在此建議開發者,在DApp 的隨機數生成上,需要去除攻擊者可控制的變量如游戲開獎序號等影響,同時避免開獎動作和通知動作(receipt)在同一個交易中,從而避免交易狀態的回滾,進而阻止來自黑客的攻擊。
