La comprensión de la hazaña que hizo EOS.IO «inservibles» para dos horas

En Sept. 13, un atacante inundó el EOSIO de la red de drenaje de $110.000 en EOS de un juego dApp. Durante el proceso, muchas de usuario de las aplicaciones de cara eran inutilizables debido a la congestión. He aquí cómo el hacker hizo, en detalle.

Fundamentos de la congestión de la red explotar

Hace cuatro días, un atacante empuja la EOS red en «alta congestión modo» como parte de una inteligente contrato de explotar. La maniobra temporalmente hizo algunos libres de los recursos de la red no está disponible, por lo que muchas aplicaciones en la red «inservibles» para los más pequeños de token de titulares por más de dos horas.

Aunque la red se puede acceder (por ejemplo, un bloque explorer todavía funciona), muchos «se impidió la publicación de actualizaciones» o «hacer algo activamente en la cadena» a menos que hayan pagado por incosteables los recursos de la red.

En el pico de congestión de la red, se requiere de casi 12 EOS para hacer un solo feeless de transacciones en la red, dijo uno de los miembros de la comunidad. Para el contexto, la Mayoría de los blockchains cobran directamente a las transacciones. EOSIO permite a los usuarios a la apuesta sus fichas en el intercambio de los recursos de la red.

El atacante fue capaz de alquilar una enorme cantidad de recursos de red en un recientemente inaugurado de intercambio de recursos. Estos recursos se utilizaron para seleccionar las transacciones válidas obtendría incluido en el blockchain para manipular el juego de azar de dApp resultados.

Durante este tiempo, los mantenedores de los juegos de azar dApp no tiene suficiente EOS en la mano para tomar su contrato fuera de línea (o de tomar cualquier medidas preventivas en todos). Esto permitió que el atacante para drenar el smart contrato para 30.000 EOS, a un costo de 300 EOS alquiler de los recursos de la red, en su tiempo libre.

La identificación del atacante

Comienzo Ago. 17, el usuario «mumachayinmm» comenzó a realizar pruebas en contra de una variedad de juegos de azar dApps. Después de poco menos de un mes de pruebas, mumachayinmm alquilado el equivalente de 1,45 millones de EOS en los recursos de la red.

Previamente, esto habría requerido algunos de 5,8 millones de dólares en fichas. Pero REX, un nuevo servicio lanzado en Mayo, permite a los usuarios de la estaca su EOS para la seguridad y los efectos de la votación, mientras que la venta de los recursos de la red de su participación les permite. Después de REX, 1,45 millones de EOS en los recursos de la red un costo de solo $1,200.

Fuente: In Bloque.io

En Sept. 13, mumachayinmm comenzó a llenar el EOSIO con cientos de miles de transacciones.

Muestra de algunas de las atacante de correo no deseado de transacciones. Fuente: In Bloque.io

Detalles técnicos detrás de los juegos de azar dApp explotar

EOSPlay es la descentralización de los juegos de azar dApp que ofrece juegos como el póquer y dados. Lo que hizo que el servicio de explotables fue lo que genera números aleatorios para estos juegos.

En lugar de utilizar una fuente segura de aleatoriedad, EOSPlay utiliza el EOSIO blockchain como su fuente de entropía. Desafortunadamente, la información sobre un blockchain puede ser manipulada.

Como un ejemplo, en Bitcoin mineros que encontrar un bloque a seleccionar las transacciones que se incluyen, a su discreción, siempre que sean legales de las transacciones. En teoría, si una dApp utiliza las transacciones en Bitcoin para hacer cálculos, a continuación, grandes mineros podían juego.

En EOSIO, de una manera similar al manipular el blockchain es acumular la suficiente cantidad de recursos de la red para incluir lo que las transacciones se desea a través de todos los otros usuarios.

Específicamente, lo que el atacante hizo fue poner transacciones diferidas en cada bloque, dijo que Dexaran, un respetado inteligente contrato de desarrollador. Estos bloques fueron los EOSPlay utiliza para calcular números aleatorios.

Por monopolizar los recursos de la red, el atacante podría calcular el número aleatorio antes de que el contrato podría. Si el número era perder el número, a continuación, las transacciones diferidas comenzó un «bucle infinito,» empujando la generación de números aleatorios para el siguiente bloque, dijo que Dexaran.

La maniobra permitió mumachayinmm para ganar en EOSPlay una y otra vez.

Decenas de miles de EOS en ganancias ilícitas. Fuente: In Bloque.io

EOSPlay indefenso durante el ataque

Para empeorar las cosas, los mantenedores detrás de los juegos de azar dApp no apuesta lo suficiente EOS para cubrir su contrato, los costos de operación cuando EOSIO conservador de modo que se dispara. Este fue un descuido por parte de los mantenedores.

Con los recursos de la red monopolizado el personal de mantenimiento necesario para tener suficiente líquido EOS en la mano para asegurar una transacción para detener el contrato iba a ir a través de. Parece que no tenemos los tokens en las manos, permitiendo al atacante bide su tiempo, como el contrato fue drenado.

Estos ataques de spam no son únicos para EOS. Las redes, como Bitcoin y de Etereum también son vulnerables a los ataques de spam debe un rico token titular quiere pagar por ellos (a pesar de que su precio es prohibitivo en la mayoría de los casos).

El bloque.uno de los ejecutivos de responder

El bloque.uno CTO y creador de EOSIO Daniel Larimer tomó a Twitter para desmentir la «FUD» alrededor de la congestión de la red de los ataques. Afirmó que la red estaba «trabajando según lo previsto»:

Sin embargo, estas afirmaciones están en conflicto con Larimer de Mayo de 2018 comentarios mientras él estaba promocionando el «feeless» diseño de EOSIO:

«En EOSIO, un solo usuario no tiene la capacidad para saturar toda la red, sin importar cuánto dinero están dispuestos a gastar.»

Sin embargo, eso es exactamente lo que sucedió durante este exploit. El atacante saturada la red por el gasto de un mísero $1,200.

El bloque.un ejecutivo de Brendan Blumer también se llevó a las redes sociales para defender EOSIO. Sin embargo, él era bastante vago en acciones específicas hasta que se pulsa por un miembro de la comunidad.

Si un usuario de apuestas EOS que siempre tendrá acceso a los recursos de la red, afirma. Pero la cantidad va a variar sustancialmente, y cuando el pago de los clientes están usando de todo, será necesario pagar para mantener el mismo nivel de acceso, declaró Blumer.

Cuestiones planteadas

La reciente explotar plantea serias dudas sobre la EOSIO blockchain. Jared Moore, un miembro activo de la comunidad le preguntó: Si la red está en riesgo de picos repentinos en el costo de recursos, la cantidad de líquido EOS debe a los desarrolladores tienen a mano para asegurarse de que está protegido? Sin orientación, dApp los desarrolladores seguirán siendo vulnerables a estos tipos de ataques, argumentó.

Otro problema es el acceso. Como EOS ganancias de más uso es probable que la red será, finalmente, entrar en un constante estado de «alta congestión modo», expresó otro entusiasta.

Esto significa que los desarrolladores y empresas, en lugar de las pequeñas de tiempo de los usuarios, que dominan el acceso a los recursos en la red—plantea dudas en cuanto a que la red está construida para. Estas mismas empresas también podrían monopolizar los recursos de la red, dijo Moore, en esencia, convirtiéndose en guardianes.

En el lado positivo, tal escenario sería hacer EOS como la propiedad de la tierra, dijo otro comentarista, dando el valor del token a través de la red de recursos que le permita al propietario.

Dexaran, un ingeniero de seguridad y el creador de la CEI-223 token estándar, hizo la siguiente sugerencia para mitigar el futuro de la congestión de los ataques en dApps:

«Sería bueno para calcular cuánto EOS necesita para poner en una «reserva» de la cuenta para asegurarse de que tiene acceso a sus contratos, incluso durante los duros de la congestión», comentó.

Otro miembro de la comunidad expresaron la necesidad de mejores formas para calcular apostado EOS necesidades bajo diferentes condiciones de la red:

«La cuestión clave aquí es que la comunidad se ha acostumbrado a la cantidad de transacciones que reciben cuando la red es relativamente no utilizados. Necesitamos mejores estimaciones de cuánto EOS necesita apostado durante diferentes condiciones de la red.»

Luego pasó a describir los problemas con el modo de replanteo es tratada en la red.

«Además, tengo un gran problema con el hecho de que EOSIO no priorizar ‘estaca’ transacciones. Cuando estas condiciones ocurren, la gente tratando de apuesta más EOS debe ser permitido (una vez por cada cuenta) como una prioridad de la transacción. Cuando he pagado enormes sumas de EOS, es ridículo, cuando tengo bloqueado y no se puede asignar más a mi cuenta. No puedo pagar más», incluso si quisiera.»

El diseño de un público blockchain es un asunto complicado. Las cosas van mal. Ahora, es muy costoso para construir aplicaciones útiles en cualquier blockchain. El bloque.uno de los ejecutivos deben tomar la iniciativa para hacer de la experiencia de desarrollo más fácil y menos arriesgado, allanando el camino para la adopción masiva, en lugar de mantener radical de las posiciones que ‘no hay nada malo.’

EOS | EOS

Actualizado: Sep 17, a las 11:07 am PDT$4.08 0.88%

EOS, actualmente en el puesto #7 por capitalización de mercado, es hasta un 0.88% durante las últimas 24 horas. EOS tiene una capitalización de mercado de $3.8 B con 24 horas de volumen de $1.86 B.

Gráfico CryptoCompare

EOS es hasta un 0.88% durante las últimas 24 horas.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

662Más publicaciones en Noticias categoría
Recomendado para ti
Bitcoin Invertir en la década de 2020

Fuente: Pensamiento Catálogo en Unsplash Juan Villaverde es un econometra y matemático dedicado al análisis...