TMT观察网_独特视角观察TMT行业

近期，區(qū)塊鏈DApp游戲的應用數(shù)量和用戶數(shù)量都得到了一定增長，這對公鏈的應用探索和推廣有積極的促進。令人擔憂的是，多款競猜類DApp頻頻爆出被黑客進行了針對隨機數(shù)缺陷的攻擊。攻擊成功后，黑客就能夠預知競猜結果，來獲得下一次競猜的獎勵。

在中心化的競猜類應用里，競猜結果都是由中心提供的，參與競猜的客戶端向中心服務提交競猜訂單，中心收集競猜訂單并生成競猜結果返回給客戶端。在這個過程中，客戶端只負責收集競猜訂單和通知結果，并不參與競猜結果的計算。競猜結果都是由中心產生競猜用隨機數(shù)，根據(jù)游戲規(guī)則將隨機數(shù)的隨機性體現(xiàn)在競猜結果上。通過這樣的隨機數(shù)轉化來保證競猜結果的隨機性和公平性。因此競猜應用是否公平、中獎機率是否隨機，完全取決于隨機數(shù)的生成、使用過程是否完全實現(xiàn)了的隨機性的傳遞。

在區(qū)塊鏈的DApp應用里，隨機數(shù)或由第三方隨機數(shù)服務接口利用Oracle機制，由硬件HSM生成后提供給區(qū)塊鏈參與者，或由智能合約提供生成規(guī)則后DApp自行生成。大多數(shù)DApp使用的都是由智能合約進行共識來生成偽隨機數(shù)。

目前，ETH和EOS等公鏈并未提供可靠的偽隨機數(shù)接口。一些熱門的DApp游戲尤其是競猜類游戲如Luckyos、EOS.WIN、EOSDice等先后因偽隨機數(shù)生成的缺陷而遭到黑客攻擊。我們以EOSDice舉例來說明攻擊的原理。

-------------------https://github.com/loveblockchain/eosdice/blob/v3.0/eosbocai2222.hpp--------------------

    uint8_t random(account_name name, uint64_t game_id)

    {

        auto mixd = tapos_block_prefix() * tapos_block_num() name game_id - current_time();

        const char *mixedChar = reinterpret_cast<const char *>(&mixd);

        checksum256 result;

        sha256((char *)mixedChar, sizeof(mixedChar), &result);

        uint64_t random_num = *(uint64_t *)(&result.hash[0]) *(uint64_t *)(&result.hash[8]) *(uint64_t *)(&result.hash[16]) *(uint64_t *)(&result.hash[24]);

        return (uint8_t)(random_num % 100 1);

    }

----------------------------------------------------------------------------------------------------------------------------------------

  從最新修復后的代碼可以看到，該隨機函數(shù)中使用的隨機因子(seed)主要是：
     tapos_block_prefix() * tapos_block_num()  --參照區(qū)塊信息
   name                                      --賬戶名
     game_id                                   --賬戶名
   current_time()                            -- 當前時間

在該版本中，下注賬戶余額(pool_ol_eos.amount) 已經(jīng)不參與隨機因子(seed)。項目方解決被攻擊的思路是避免黑客通過可控制的賬戶余額(pool_ol_eos.amount)來計算隨機因子(seed)。但該修復只是減少可控因素的成本，隨機因子中的賬戶名(name)還是可以被操縱的。當下注金額較大時，黑客依然有十足動力來進行攻擊。

從安全本質上來說，能夠被黑客輕易攻擊是因為這個隨機數(shù)算法不具備工業(yè)級別。表現(xiàn)為：

1.作為隨機因子的(seed)的熵源(Entropy Input)不是可靠。

2.隨機因子Seed的安全強度不足。

3.算法簡單和重置隨機因子機制缺失，隨機數(shù)結果可回溯且具備可預測性。

如何設計和運用具備工業(yè)級別的偽隨機數(shù)方案，筆者建議參考2015年 的NIST 800-90A《確定性隨機比特生成器的隨機數(shù)生成方法建議》(‘Recommendation for Random Number Generation Using Deterministic Random Bit Generators’)，它給出了實踐和參考的一些實現(xiàn)方法。但結合DApp的業(yè)務流程時，也需要進行針對性的調整。NIST的800-90A 2016年版本也曾造成了重大的安全事故：建議中包含了4種隨機數(shù)生成方法，其中一種Dual_EC_DRBG算法為美國安全局進行全球的通訊竊聽提供了有力的助攻。

該建議書中的DRBG(Deterministic Random Bit Generators)機制有五個獨立的功能：

1.實例化功能(instantiate function)獲取熵源(entropy input)或者附加 隨機數(shù)Nonce和個性化字符串(personalization string)創(chuàng)建初始內部狀態(tài)的隨機因子(seed)。

2.隨機比特位生成功能根據(jù)請求使用當前內部狀態(tài)(current internal state)和可能的附加輸入(Additional Input)生成偽隨機比特位; 并生成下一個請求的新內部狀態(tài)(new internal state)。

3.重設隨機因子功能(Reseed Function)獲取新的熵源，并將其與當前內部狀態(tài)(current internal state)和可能的附加輸入(Additional Input)結合創(chuàng)建新的隨機因子(new seed)和新內部狀態(tài)(new internal state)。

4.注銷實例化功能將內部狀態(tài)清零擦除。

5.自檢功能確定DRBG機制能繼續(xù)正常運行。

圖片來源：NIST 800-90A《確定性隨機比特生成器的隨機數(shù)生成方法建議》

在開源世界里，已經(jīng)有很多滿足NIST要求800-90的DRBG的實現(xiàn)，筆者建議在不具備密碼學基礎的Developer不要輕易的編寫自定義的偽隨機數(shù)生成器。

即使采用滿足標準的偽隨機數(shù)生成器，但由于偽隨機數(shù)生成算法跟設備上物理狀態(tài)或執(zhí)行過程中狀態(tài)相關，在區(qū)塊鏈分布式系統(tǒng)的各個Node無法得到一致的隨機數(shù)。 在區(qū)塊鏈世界里某些應用場景尤其是有獎競猜等，各個Node所需要的隨機數(shù)(不管是真隨機還是偽隨機)應該是可共識的，可信賴的，可驗證且可審計的。

鏈殼科技愿為DApp開發(fā)者提供全方位的安全設計咨詢和審查服務，共同提高產品抵御攻擊的能力，為用戶提供良好的安全體驗。合作請聯(lián)系：business@chainshells.com