TMT观察网_独特视角观察TMT行业

引子：“夫未戰(zhàn)而廟算勝者,得算多也;未戰(zhàn)而廟算不勝者,得算少也。多算勝少算，而況于無算乎？”

                                                      ——《孫子兵法》

1.相關(guān)消息動(dòng)態(tài)

7月24日早些時(shí)候有EOS游戲的智能合約爆出安全漏洞，相關(guān)安全團(tuán)隊(duì)形容其漏洞為“薅羊毛”^[1]（具體分析請(qǐng)見引用1  ）。

同一天有個(gè)關(guān)注者發(fā)現(xiàn)同一份合約又存在更改賬戶權(quán)限的問題，并警示進(jìn)入游戲的用戶保護(hù)好自己的資金安全^[2]（相關(guān)闡述件引用2 ）。

對(duì)此，相關(guān)團(tuán)隊(duì)也進(jìn)行了測(cè)試驗(yàn)證^[3]（測(cè)試過程請(qǐng)見引用3 ）。

7月25日，有個(gè)人用戶發(fā)現(xiàn)其網(wǎng)站主頁(yè)EOS總數(shù)出現(xiàn)異常，疑似受到溢出攻擊^[4] (疑似事件情況請(qǐng)見引用4)。

事件真相正在進(jìn)一步發(fā)酵中，鏈安團(tuán)隊(duì)也將跟進(jìn)調(diào)查事件進(jìn)展。

2.事件回響

回首2016年的以太坊游戲The King of the Ether Throne, 當(dāng)時(shí)也被利用了外部函數(shù)調(diào)用的漏洞，遭到通過（Unexpected）Revert 發(fā)動(dòng)的DoS攻擊，導(dǎo)致該游戲運(yùn)營(yíng)出現(xiàn)重大問題，相應(yīng)的分析鏈安科技團(tuán)隊(duì)會(huì)在本周的漏洞分析連載中進(jìn)行分享，敬請(qǐng)關(guān)注“鏈安科技”的公眾號(hào)和相關(guān)媒體的技術(shù)專欄。

鑒于目前基于EOS的游戲如雨后春筍般出現(xiàn)，其合約的復(fù)雜程度相較于代幣交易合約大大增加，漏洞的出現(xiàn)幾率隨之提高

俗話說，蒼蠅不叮無縫蛋。

一旦合約出現(xiàn)問題，相關(guān)游戲項(xiàng)目方將首當(dāng)其沖，我們正在持續(xù)關(guān)注區(qū)塊鏈游戲的發(fā)展，并已經(jīng)展開對(duì)游戲智能合約的漏洞測(cè)試和安全審計(jì)籌備，未雨綢繆。

但局限于目前所有類似游戲并沒有開源，我們無法對(duì)其從源碼到目標(biāo)碼展開專業(yè)的形式化驗(yàn)證或使用我們研制的完全自動(dòng)化的驗(yàn)證工具。

秉承著團(tuán)隊(duì)學(xué)術(shù)背景嚴(yán)謹(jǐn)治學(xué)的精神，我們將在高效率高質(zhì)量的全方位剖析之后，給出合約潛在漏洞的專業(yè)分析和解決方案。

 3.鏈安之見

因此，鏈安科技團(tuán)隊(duì)向廣大游戲合約開發(fā)者呼吁：

1、對(duì)待合約開發(fā)要以更嚴(yán)謹(jǐn)更規(guī)范的態(tài)度腳踏實(shí)地的為之后的順利運(yùn)營(yíng)打下堅(jiān)實(shí)的基礎(chǔ)。

2、盡快將合約代碼開源，讓更多的專業(yè)人士和技術(shù)團(tuán)隊(duì)參與進(jìn)來，分析整理出易發(fā)生的意外事件，提升合約編寫的安全性和功能準(zhǔn)確性，防患于未然。

3、在合約上線之前，一定要有專業(yè)的團(tuán)隊(duì)對(duì)合約代碼進(jìn)行漏洞檢測(cè)及安全審計(jì)。

鏈安科技團(tuán)隊(duì)持續(xù)關(guān)注區(qū)塊鏈游戲合約的安全問題，已經(jīng)對(duì)多個(gè)類似的游戲合約展開全面排查，一旦發(fā)現(xiàn)可被攻擊者利用的安全問題，將第一時(shí)間通知項(xiàng)目方，保障游戲項(xiàng)目方以及廣大用戶的利益。

引用：

1、https://mp.weixin.qq.com/s/EDSlYEA1xHGVa41Uicf8qg

2、https://bihu.com/article/992656

3、https://bihu.com/article/986206

4、https://bihu.com/article/995093