image
image
01
EOSIO v1.4.6 、v1.5.4、v1.6.0 版本更新
EOSIO 新版本已于今晨 7:00 左右发布。
根据此前披露的 EOS 主网致命拒绝服务漏洞(CVE-2019-6199),更新了相关补丁,限制预定交易的处理时间。
更新详情:
https://github.com/EOSIO/eos/tags
别浪:能不能根据下跌漏洞也更新一个补丁?
image
02
慢雾安全团队 :DApp 影骰(dicer.e)被攻击手法分析
攻击者 panming12345 调用自身合约的 send 方法(入参 name: ge3tanjygyge, num: 10, q: 5.0000 EOS),然后合约发送 2 笔 defer。
第一笔为调用自身合约 transfers 方法(入参 amount: 10),然后合约发送 10 次 inline action 调用自身合约的 first 方法(入参 game_id: 387957),每个 first 会发送一次 defer,内容为调用自身合约 observe 方法(入参 game_id: 387957 seq: 4145),其中 game_id 不变,但 seq 每笔都不一样,但执行结果都是断言失败。
第二笔调用 ge3tanjygyge 合约的 transfer 方法向 dicer.e 发起转账玩游戏,quantity 为 5 EOS,即 send 的入参。
显然,这次仍是“交易排挤攻击”,建议 DApp 开发者在随机数算法中移除时间种子,或接入慢雾安全团队的 DApp 防火墙 FireWall.X 可有效缓解该类攻击。
别浪:有钱的都在被排挤,还好我没有!
image
03
RenrenBit 借贷服务新增EOS币种质押
RenrenBit(www.renrenbit.com)是全球数字领先的资产服务平台,为用户提供数字资产的存储、转账、C2C借贷、投资、行情查询等多种服务。
目前已上线云+HD双核多链钱包和C2C借贷服务。云钱包有效的降低了用户使用门槛和操作难度,并且内部转账可秒到,零手续费。近期新上线EOS币种,无需购买RAM,无需配置CPU,NET,即可轻松管理EOS资产。
借贷服务除了支持BTC、ETH、LTC传统十余种主流数字资产质押之外,也新增了EOS币种质押,可快速借出CNY或其他数字币种。
C2C交易模式更安全,平台只做信息撮合、质押币托管。自身不吸储、不放贷、不碰质押币。银行级风控、多签转账机制、透明清算链技术让交易流程更加安全可控。
image
别浪:“借钱过年”和这个冬天很配哦~
image
04
慢雾预警:攻击者喊话所有链上伪随机数(PRNG)都可被攻击
攻击者 floatingsnow 向自己的子账号 norealrandom、dolastattack 转账并在 memo 中喊话:
hi slowmist/peckshield: not only timer-mix random but all in-chain PRNG can be attack, i suggest b1 export new apis (get_current_blockid/get_blockhash_by_id) instead of prefix/num
从账号名称和 memo 可知攻击者对目前 EOS DApp 链上随机数方案了如指掌,攻击者指出 tapos_block_prefix/tapos_block_num 均不安全,并提议 b1 新增 get_current_blockid / get_blockhash_by_id 接口。
别浪: 这是赚得太多,不好意思了?
image
05
慢雾今日紧急预警:采用链上随机数方案的 DApp 需紧急暂停
根据近期针对 EOS DApp 遭遇“交易排挤攻击”的持续性威胁情报监测:
EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACK DICE、ggeos 等知名 DApp 陆续被攻破,该攻击团伙(floatingsnow等)的攻击行为还在持续。
在 EOS 主网从根本上解决这类缺陷之前,我们建议所有采用链上随机数方案的 DApp 紧急暂停并做好风控机制升级。
为了安全起见,我们强烈建议所有竞技类 DApp 采用 EOS 官方很早就推荐的链下随机种子的随机数生成方案:
https://developers.eos.io/eosio-cpp/docs/random-number-generation
别浪:不听老人言,吃亏在眼前!
image
06
Parsl 将开启第三轮 SEED 奖励投放
参与奖励投放条件为:
1.依照用户 EOS 账户中的 SEED 的持有量,每月发放一次奖励,共 11 次,此次为第三次。
2.参与该轮奖励投放需在 1 月 26 日前在 parslreward.co 中完成注册并回答 2 个问题和 4 个选择题。
注册地址:
https://parslreward.co/access/sign-up
别浪:已注册!
image
image
记得留言与我们互动呀~
image
网友评论