Mientras que los hackers han aprovechado las vulnerabilidades en los intercambios y ciertos proyectos para robar criptos en el pasado, sus nuevos objetivos ahora parecen ser Internet 3.0, los Dapps. Si bien muchos Dapps han sido víctimas de piratas informáticos recientemente, la nueva adición a esta lista es EOS Dapp, Fishing Joy.
El ataque continuo a EOS Dapp resultó en una ganancia del 100%
Según una actualización reciente publicada por la seguridad de Peckshield , la plataforma de control de viento PeckShield Security Shield, DAppShield, que controla los ecosistemas de Dapp, informó que el juego EOS Dapp Fishing Joy fue atacado por hackers. De acuerdo con lo que se informó, los piratas informáticos lanzaron un ataque continuo al juego de preguntas de EOS, Fishing Joy, que se beneficiaba al cien por cien de ellos. Según el análisis realizado, Peckshield cree que los piratas informáticos utilizaron el método de bloqueo de transacciones (CVE-2019-6199) para activar el mecanismo de retiro de moneda del juego, lo que dio como resultado un beneficio del 100%.
Este ataque fue una llamada de alarma para los desarrolladores de Dapp como ecosistemas de Dapp que los desarrolladores deberían realizar pruebas de seguridad antes de que el contrato entre en línea, especialmente para eliminar la amenaza de ataques conocidos. Si es necesario, estos Dapps pueden solicitar la asistencia de una empresa de seguridad de terceros para ayudarlos a completar la prueba de la caja negra y la defensa de seguridad básica antes de que se inicie y se implemente el contrato.
Bloqueo de transacciones: Exponer una de las mayores vulnerabilidades de EOS
Esta no es la primera vez que EOS Dapps ha sido expuesto a tales vulnerabilidades. En enero, el propio Peckshield había detectado un ataque similar.
1/2: se encontró un problema crítico de denegación de servicio de EOS, puede paralizar gravemente la vida de la cadena EOS completa – ¡PeckShield detectó un problema grave de DOS en EOS, llamado "Transaction Congestion Attack" (CVE-2019-6199)! #EOS
– PeckShield Inc. (@peckshield) 12 de enero de 2019
2/2: Los atacantes pueden iniciar una gran cantidad de transacciones de basura diferida para evitar que BP genere bloques con transacciones válidas por completo. Los piratas informáticos han usado esta laguna para atacar ciertos juegos EOS y han tenido éxito. #EOS
– PeckShield Inc. (@peckshield) 12 de enero de 2019
Nuevamente, en enero de 2019, el juego de apuestas EOS apodado " IDice ", fue pirateado usando la técnica "Transaction Congestion Attack".
El método de ataque de bloqueo de transacción (CVE-2019-6199), también conocido como "Ataque de congestión de transacción", es peculiar con EOS, ya que EOS permite que una transacción firmada por el usuario programe otra transacción diferida (es decir, una transacción que se ejecutará en el futuro) . Aquí es donde el problema radica en que las transacciones diferidas (incluidas las transacciones de basura) tienen prioridad sobre las transacciones firmadas por el usuario, lo que les permite denegar el acceso a las transacciones firmadas por el usuario. Específicamente, cuando se programan las transacciones diferidas, generalmente eluden el nodo API y llegan directamente a la cola de ejecución de BP.
También lea: Tron Dapp gasta en aumento, alcanza $ 102.4 por día, superando el gasto tradicional en juegos que no son Dapp
Como tienen una prioridad más alta que las transacciones firmadas por el usuario, se procesarán antes que cualquier transacción firmada por el usuario. Además, si una transacción diferida programa otra transacción diferida, es probable que otros BP retomen la transacción diferida nuevamente.
Por lo tanto, un atacante podría, en una transacción, iniciar una gran cantidad de transacciones de basura diferida, incluir ciclos muertos en estas transacciones diferidas para provocar un tiempo de espera, utilizar todo el tiempo de CPU y finalmente paralizar la red EOS.
Estos ataques frecuentes a EOS están exponiendo su vulnerabilidad y son un recordatorio para que el equipo de desarrollo corrija esto pronto. De lo contrario, EOS se enfrentaría a la misma suerte a la que se enfrentaba Ethereum debido a la congestión con respecto al ecosistema Dapp.
¿Podrá EOS solucionar este ataque de congestión de transacciones? Háganos saber sus puntos de vista sobre el mismo.
.
