链资讯 链资讯
Ctrl+D收藏链资讯

GAMES:EOS 超级节点上演高智商犯罪,6000 万空手套白狼_CARTEL

作者:

时间:

原文标题:《区块链世界的高智商犯罪:如何偷走价值6000万人民币的EOS》

黑客预先投入百万人民币,将自己控制的节点成功选举为EOS中21个出块节点,再利用节点的便利,将价值6000万人民币的被冻结EOS一次性转走到交易所变现?还是他运用了更聪明的方法,使其不需要投入任何成本,上演了一出完美的空手套千万?

2月22日下午2点,区块链世界总值排名第四的EOS网络上出现了一笔离奇的转账。

曾被(EOS仲裁委员会)冻结交易的EOS账号出现了异常交易活动,向疑似某交易所的账号转了三笔交总计209万个EOS的交易,价值6000万人民币。这笔钱本是犯罪份子取EOS用户私钥后转移来的赃款,已经被冻结,现在这个被冻结的账户居然意外出现了转账。

区块链安全团队PeckShield随后发表分析认为,是EOS区块链上一个名为games.eos的节点没有设置黑名单而导致的。

上面提到的被ECAF仲裁冻结交易的账号,绝大部分为持有黑产、盗窃、等手段获取的EOS资产的账户。为了防止黑客把偷来的币转移或销毁证据,所以ECAF仲裁机构向节点发出冻结令,冻结以后账户就不能做任何交易,使用户资产和黑客盗窃证据得以保全。

按照规定,在ECAF宣布冻结命令后,EOS节点要完成黑名单的同步,这样就保证币不会转移走,等到仲裁机构给出结论后再做下一步打算。

可是,22日下午,因为21个EOS出块节点之一的games.eos没有设置好黑名单,黑客利用这个节点出块时段,连续三次,把209万个EOS区块链代币转移走。此类行为又被称为是「偷跑」。

EOS节点的主要工作就是负责生产区块,即处理转账交易和阻止黑名单交易。到这里,很多人都会认为这只是一起由于工作疏忽而导致的因意外事件,而事情接下来的发展,却出乎我们的意料。

EOS生态DeFi项目DMD(钻石)质押资产超过5000万美元:EOS生态流动性挖矿项目DMD(钻石)目前质押总资产超过5000万美元,包括1000万EOS、2150万USDT和2620万OGX。此前消息,钻石项目已经通过慢雾的安全审计并完成合约多签,多签参与方包括TokenPocket、EosNattion、慢雾和钻石团队。[2020/9/6]

当天下午4点,PeckShield数据再次显示,黑客是假装向疑似Newdex去中心化交易所的账号转账,躲避追踪。

但实际上这是一个混淆视听的假账号,黑客同时向多个不同的小号分散转账,小号收到转账马上转进交易所,比如火币、币安、Bitfinex等。

据了解,这些转进交易所的EOS,在安全团队和交易所都还没有反应过来的时间内就开始提币走人,原先的赃款就这么瞬间洗白。据PeckShield提供的链上数据,目前黑客已向交易所成功汇入了35.5万EOS,即洗白的赃款可能高达990万元。

这是一场预谋已久的犯罪行为。

区块链世界里又一例新的高智商犯罪?

在社交网络上有人认为这是黑客的一个完美高智商犯罪,以极低的成本成功将此前被冻结的价值6000万人民币的EOS取走。

有观点认为:

为了让黑客偷的币顺利转移,黑客通过一些手段买到了1500万EOS的票,让一个没有加黑名单的节点成为出块节点,然后成功偷跑了价值5000万的EOS。

这里提到的「买票」,其实就是代理投票。EOS网络上有专门做代理投票的团队,他们手中持有大量的筹码,可以根据客户需求来进行投票成为节点,借此获得节点分成或者利润。代理投票和抵押EOS资源的服务模式是一样的,相当于租赁业务,用户只需要支付极少的费用就可以获取大量的、短时可用的EOS。

动态 | Beosin预警:cubecontract遭受攻击 攻击者已获利:Beosin(成都链安)预警,今天下午14:46-14:51之间,根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现,黑客justjiezhan1向EOS竞猜类游戏cubecontract发起攻击且已经获利。在此之前,黑客justjiezhan1已于12:00:41左右开始部署攻击合约,成都链安安全分析人员初步分析认为攻击者仍然与之前的攻击手法相同,为交易阻塞攻击。在此我们建议游戏合约开发者应该重视游戏逻辑严谨性及代码安全性,同时呼吁游戏项目方在项目上链前进行完善的代码安全审计,必要时可借助第三方专业审计团队的力量防患于未然。[2019/3/18]

在EOSDAPP非常流行的时候,因为EOSDAPP大量消耗资源,所以用户玩DAPP的时候需要购买CPU资源。不少钱包都提供CPU租赁业务,用户4个EOS就可以租到5000个EOS的CPU。买票的服务也是一样,用很少的EOS就可以买到大量的EOS投票,抵押结束后,票就会撤回来。

如果按照抵押EOS资源的价格,有人也大概算出了这次犯罪的成本,大约在30-114万人民币之间。从EOS节点投票数据看,games.eos节点在2月20日和21日这两天,一共新获得了1518万票,这些票让games.eos一跃成为了前21名出块节点。

如果4个EOS可以买到5000个EOS的票,那1518万票就需要12,144个EOS去买,按照现在的价格,就是30.3万人民币。而据业内从业者表示,100万EOS投票一天需要3000个EOS的租赁费,那么1518万票就需要45,540个EOS,价值114万人民币。

所以网友推测这次犯罪的买票成本大概是在30万到114万人民币之间。PeckShield安全团队也认为,不排除黑客买票让节点当选的可能性。

动态 | “EOS不是区块链”的研究报告夸大负面效果:据IMEOS报道,针对区块链测试公司Whiteblock所发表的“EOS不是区块链,而是一种美化过的云计算服务器”,区块链斜杠青年发表文章《EOS持有者请进,一起侃侃Whitblock对EOS的负面研究报告》。

对于“EOS是一个去中心化的计算云服务”观点,文章作者认为尽管EOS网络核心层的21个超级节点有中心化的倾向,但以太坊网络核心层也几乎是几个大矿池,该问题归根到底是DPOS和POW的问题即投票和算力的中心化对比问题。

对于“EOS不是区块链,没有使用密码学技术”观点,文章作者经过对原英文研究报告的确认,其正确表述是指“EOS只是在状态数据验证时未使用密码学技术确认”,该问题有相应的改进措施,并不会造成特别大的问题。[2018/11/5]

然而这个让人激动人心的黑客故事可能经不起推敲。根据PeckShield的数据,games.eos节点在2月21日就已经成为了出块节点。如果黑客真的进行了买票操作,那黑客应该会第一时间趁着深夜将资产转出,为什么要等到一个工作日的下午呢?而且买票的行为非常容易被人发现真实身份,目前还没有可以进行匿名买票的途径。

我们针对这一事件展开了深入调查。

早有先例

EOS节点偷跑黑名单导致普通用户资产被盗事件:小手在今年4月份以110元左右的价格买入了1000多个EOS。6月份EOS主网上线之后,各大钱包对EOSToken的支持都不完善,小手在操作转账到交易所的过程中遇到了问题,在电报群中求助后,有「客服」来与他联系说可以手动导入EOS资产到交易所。然而小手没有想到的是,这个客服其实是子假扮的。子在索要了小手的EOS私钥后,将其EOS资产掠夺一空。

因为泄露了自己的私钥,小手自己EOS账户中的1280多个EOS被子盗走后买了EOSRAM。小手找到了EOS自治社区ECAF,并通过这一渠道进行了仲裁申请,3个月后的10月5日,ECAF发布了这一资产被盗事件的紧急冻结令,子的钱包地址被冻结,小手的资产得到了暂时的保护。

动态 | EOS区块链浏览器EOSpark推出API服务:据IMEOS消息,EOS区块链浏览器EOSpark推出API服务,开放EOSPark的数据能力,降低开发门槛。同时,MORE Wallet即将接入此功能。[2018/10/1]

然而,噩梦却在那意思小确幸后降临。11月12日,这个被冻结的EOS地址居然执行了操作,子将EOSRAM卖掉,这仅剩的552个EOS被子转到币安交易所卖掉后提现走人。已经被各个节点加入黑名单冻结的账号是怎么进行操作的,小手大为不解。

原来,负责这次交易的出块节点starteos并没有将这个黑客账号添加到黑名单中,导致黑客成功地「偷跑」。

2月22日的209万个EOS被偷跑,也是使用的同样的手法。

于是有两种可能性摆在我们面前:这是黑客精心安排的一次独立高智商犯罪,亦或是与games.eos节点串通,一同导演的一场黑客盗币的大戏。

我们把games.eos这个节点的得票历史做了下面这张图。

可以看出,该节点账号于10月份创建后并没有立即开始获得投票,直到11月才获得大量选票,期间有三次大幅度的票数增长,分别在11月4-5日、12月23-25日和2月20-21日。

在20日和21日这段时间里,games.eos得票量突然猛增,成为获票数前21的节点,成为了出块节点。在发现209万个EOS通过该节点偷跑后,排名22和23的节点迅速获得大量票数,将games.eos挤出出块节点行列。大约1小时后,games.eos回到了排名23位,不再负责出块。

在区块链浏览器上,每个节点都有完整名称和国家所在地,可games.eos什么介绍都没有,好像是凭空出来的,更令人生疑。

从投票历史上看,games.eos是从去年10月份才开始有得票的节点,在浏览器上也发现这个账号是一个10月份才开始建立的,出现了只有4个月。正常来说,节点申请提交是在去年6月前就截止了,不可能在有新的节点申请出现。其他的节点的主网账号都是去年6月份建立的,只有games.eos比较特殊。

分析 | 金色独家 价格波动无损EOS受关注度:金色财经独家分析,中国信息产业发展中心(CCID)近日发布了30个数字货币的官方新排名,报告显示比特币现在排名第17位,相比之前下降了4位;EOS首次位居榜首,ETH排名第二。EOS虽然经历了价格上面的波折,但是据Crypto Miso数据显示,近90天Github代码提交次数排名第一的是EOS,GitHub提交可以用来评估流行加密货币的受欢迎度,也就是说从Github上看EOS的受欢迎程度在增加。虽然市场上对于EOS超级节点褒贬不一,但是就目前来看EOS仍然是热门币种,依然受到市场的热烈关注。[2018/6/25]

既然不可能有新的节点团队申请进来,那唯一的解释,这个节点是现有节点团队的小号。果然,有一个节点曾经公开表示,自己有两个节点账号,就是刚才提到的starteos节点。

在starteos自己发表的这篇文章里,他们承认,starteos建立了games.eos这个节点,这两个节点都是一个团队在控制。并且还公开表示,games.eos会给投票用户分红。

上述文章还提到了与引导大家投票的有关的内容:节点games.eos流畅运行后,节点收益将分给持币者,这也就是EOS节点圈内褒贬不一的「贿选」做法。

所以当你看到starteos和偷跑有关的时候,关于games.eos发生的一切似乎就可以解释了。

EOS的部分节点存在一个节点联盟,节点之间会互相投票,以获得节点奖励。国内大多数节点也在这个联盟中。

在最近的节点换票中,games.eos获得了大量的选票,直接升到了第20名,成为了出块节点。starteos之前就因为没有设置冻结账户黑名单,黑客在starteos出块的那6秒钟里把盗窃的EOS转移了,但是该节点对外界的任何质疑不做任何形式的回应。

这次被转移的账户的冻结命令是9月25日下的,其他节点已经加入了黑名单,而10月份刚成立的games.eos依然延续了自己团队的老问题,没有更新黑名单。

精心的谋划与耐心的等待

目前事态已经非常明朗,黑客已经成功作案并洗白了不少资金,我们现在可以回过头来分析发生的一切:

黑客在games.eos当选出块节点的第二天发现了这个可以偷跑的事实漏洞,喜出望外的同时,迅速计划了这次转移209万个EOS的犯罪活动。

从黑客转移资产的路径发现,除了一个混淆账号外,其他所有关联交易的EOS账号均创建于9月27日,即黑客账号被冻结后的2天,黑客早就做好了随时偷跑的准备。黑客被冻结账号第一个转出的账号为一个仿冒Newdex交易所的账号。

该混淆帐号创建于2月18日,创建之后就开始批量地向其他EOS账号发送虚假的广告来迷惑追踪者,让别人以为这是「Newdex交易所的官方账号」。这种反侦察的行为甚至一度过了安全团队的追查,但最后还是因为交易量过少而被发现。值得注意的是这个时间「2月18日」,也就是games.eos节点大量获票的前2天,黑客已经预测到该节点很有可能会当选。

在成功偷跑后,黑客将所有资产走转移到了这个混淆帐号,随后混淆帐号又转到了十几个二级账号,二级账号又快速地转到了三级账号或交易所。目前已经有大量EOS赃款通过交易所进行洗白,包括火币、币安、Bitfinex等交易所。据PeckShield提供的链上数据,目前黑客已向交易所成功汇入了了35.5万EOS,即洗白的赃款可能高达990万元。

很显然,黑客准备的十分充分,从目前掌握的证据来看,这是一个精通EOS开发的黑客,他对链上的交易和记录查询非常熟悉。

创建混淆帐号的EOS账号甚至曾创建过一个EOSDAPP并发行过mEOS代币,这名开发者还发了一款名为mEOSFolio的EOS区块链交易追踪App,可在美区AppStore下载

此外,guagddoefdqu账号曾在1月30日测试往火币交易所里进行过6次充值,备注的账号识别信息分别为6个不同的账号。也就是说,这位黑客已经在1个月前准备好了最少6个交易所洗白账号,只等games.eos节点当选这一天的到来。

至此,我们已经了解了所有犯罪的准备条件:

1、一个新的可能没有黑名单的EOS节点即将上线;

2、深谙EOS网络的运行规律,比节点更懂EOS;

3、准备好了多个交易所账号,准备洗白;

4、准备好了混淆视听的账号来避免追踪,或者拖慢被冻结的进度;

5、准备好大量可操控的账号进行转账交易。

在games.eos当选后的十几个小时内,黑客得手了。

问题这么久了为什么还没解决?

作为一个曾经被认为区块链世界最安全的社区,EOS已经不是第一次出现由于节点的问题导致用户资产损失的事情了。

在事情发生24小时后,其中一个EOS节点EOS42发文表示,这种事情不应该再次发生,他们认为可以用废除黑名单内账户私钥的方式来防止单一节点不更新黑名单的行为再造成损失。黑名单账户的私钥一旦被废除,就再也不能进行交易行为了。

这个办法的确可以用,但是这样一来,节点又可以对账户的私钥进行操作了。在之前ECAF的仲裁命令中,ECAF就要求节点修改账户私钥,这一行为引发了社区很多讨论。不少人认为私钥是个自己财产的最后底线,如果私钥可以修改,那自己的财产根本谈不上安全了。而废除私钥的这个方法,从某种程度上说,跟修改私钥是一个意思,只能作为暂时性的方案。治标不治本。

我们承认EOS作为头部项目,正在身体力行的探索区块链世界的种种可能性,区块链就像一场大型社会实验,而EOS在其中做了很大的贡献。

但也要看到,作为EOS生态重要环节的EOS节点,本应该履行应尽的职责,但却一而再,再而三的出现同样的问题,让人不禁反思,这样的治理方法,真的有效么?

讽刺的是,基于EOS而诞生的BOS区块链,在事情发生后一天就在区块链上配置了BP多签黑名单机制,解决了节点因为懒惰或工作失误不作为而偷跑的高风险漏洞。BOS上目前以中国的EOS节点为主,也就是说,同样一批人,在侧链上,解决了这个问题,这到底是节点的问题,还是制度的问题?

让EOS的每一个节点都能保证永远负责,永远认真为用户做事,让节点与节点之间永远不存在利益共生体,让每一个节点都保持独立,这样的想法是不是太过于理想了。

本文来源于非小号媒体平台:

区块律动BlockBeats

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627142.html

EOS柚子

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

TokenInsight|安全问题成为阻碍钱包资管业务发展的绊脚石

下一篇:

币圈老故事:加密货币领域臭名昭著的喊单出货恶魔Wolong

标签:GAMES区块链TARTARTEMirrored GameStop区块链技术的特点Restart Energy MWATCARTEL

币安交易所app下载热门资讯
END:起底 PoS 共识的前世今生,展望 Staking Economy 新时代_StakeNet

PoS及Staking都不是一个新的东西,早在2011年PoS的概念就被提出,中间经历了多个阶段逐渐演化到今天百花齐放的PoS公链,以及火热的StakingEconomy.

区块链:FT团队联手共识实验室在香港发布FT公链及生态,将于6月16启动主网切换_Groestlcoin

5月24日,FT团队联手共识实验室在香港发布FT公链及生态。据悉,FT公链将于6月6日上线测试网络,6月16日启动主网切换.

GAMES:BihuEx交易所第一期申请投票上币的项目已达18家_HKDT

尊敬的BihuEx用户:目前参与BihuEx第一期投票上币的项目有:NEWABTIOSTLITEXINVEDAPPFDSHKDTISASLAD.

EOS:BSV爆拉见顶,市场接近尾声主流币机会在何处?_SHI

近期币圈前十大主流币种裹足不前,而小市值币种matic补涨13倍,以及大家特别关注看空的弃婴BSV狂拉210%。这一情况当时让很多人都摸不清头脑,一次性爆发突飞猛涨,将近130多个点位.

比特币:莱特减产效应乍现 莱特币涨至100美元以上_科技股

今日美股重挫,在科技股拖累下纳斯达克综合指数下跌将近1.6%,美油最低下跌6%,10年期美债收益率最低下行8.5个基点.

比特币:比特小鹿BitDeer矿业生态大会即将在京举行 三大亮点惹关注_TPOS

经历了一轮牛熊转换,比特币价格重回高位,加密货币市场迎来艳阳天,比特币挖矿热潮再度掀起。一方面,以比特币为首的主流数字货币价格处在高位震荡,通过追涨杀跌持币的方式很难把握较大收益;另一方面,比特.