4天被盜1200萬人民幣?Last Winner背后還有個(gè)更大的陰謀區(qū)塊鏈
億資金涌入,以太坊風(fēng)起云涌。
2018 年 8 月 6 日,北京凌晨。一款叫 Last Winner (以下簡(jiǎn)稱 LW)的游戲在以太坊上上線了。這是一個(gè)和 Fomo3D 相似但是不開源的游戲。
讓人沒有想到的是,這個(gè)游戲竟然在國(guó)內(nèi)團(tuán)隊(duì)的大力運(yùn)營(yíng)下,短短幾天之內(nèi)就席卷了整個(gè)以太坊網(wǎng)絡(luò)。
LW 一上線就有大量資金涌入,大量玩家入場(chǎng)。剛上線沒幾天,就為以太坊網(wǎng)絡(luò)制造了無數(shù)的交易,使得以太坊的 gas 價(jià)格直線上升,導(dǎo)致了大規(guī)模的交易擁堵,很多交易長(zhǎng)達(dá)24小時(shí)都無法完成。
可以從圖中看到,從 8月 6 日 Last Winner 上線到 8 月 9 日,以太坊的 gas 價(jià)格最高上漲超過 5 倍。
(圖 1. 以太坊每日 gas 價(jià)格統(tǒng)計(jì))
截止到2018年8月15日,LW 這個(gè)游戲產(chǎn)生的交易就高達(dá) 28W 筆,吸入資金 109280 ETH,估值高達(dá) 2.5億 人民幣。就在幾個(gè)小時(shí)前,游戲剛剛結(jié)束了第一輪并開始了新的一輪,第二輪開啟僅幾個(gè)小時(shí),就吸引到了 5000 ETH入場(chǎng),以太坊網(wǎng)絡(luò)再次擁堵起來,可見游戲的火爆程度。
然而讓 Last Winner 和 玩家都沒有想到的是,多雙黑手正伸向他們。。。
4天?1200萬人民幣被盜走
8 月 10 號(hào),安比實(shí)驗(yàn)室(SECBIT)收到了美國(guó)硅谷公司 AnChain.ai 的消息,AnChain.ai 通過態(tài)勢(shì)感知發(fā)現(xiàn)了一個(gè)攻擊合約正在不斷從 Last Winner 中攫取 ETH!
根據(jù) AnChain.ai 提供的數(shù)據(jù),這個(gè)由黑客創(chuàng)造出來的攻擊合約發(fā)起了將近 5W 筆交易,僅花費(fèi) 4 天 時(shí)間,就累計(jì)獲利 5194 ETH,價(jià)值將近 1200 W 人民幣。
下圖來自 AnChain.ai 提供的攻擊合約每小時(shí)攫取 ETH 數(shù)據(jù),黑客從 8月 7 號(hào)開始就發(fā)起了攻擊,在 8 月 11 日左右停止。在這短短四天內(nèi),該合約每小時(shí)平均攫取將近 100 ETH,將近 22W 人民幣。
(圖3. 黑客每小時(shí)攫取的 ETH)
下面這張圖表示黑客發(fā)送的交易量占總交易量的 9.877 %, 但是攫取了 Last Winner 獎(jiǎng)金池中 49% 的獎(jiǎng)金。
(圖4. Last Winner 中黑客的交易量占比和攫取 ETH 占比)
疑點(diǎn)重重,離真相還有多遠(yuǎn)?
安比(SECBIT)實(shí)驗(yàn)室和 AnChain.ai 合作,共同對(duì)交易數(shù)據(jù)進(jìn)行分析,同時(shí)安比實(shí)驗(yàn)室采用代碼逆向工程、跟蹤調(diào)試等手段,對(duì)此番黑客的系列攻擊行為展開了進(jìn)一步的深入分析。
首先通過觀察游戲合約和異常交易行為,我們初步推測(cè)黑客很可能是利用了之前在Reddit上爆出的 Fomo3D 游戲隨機(jī)數(shù)漏洞。事實(shí)上早在 7 月 24 日,安比(SECBIT)實(shí)驗(yàn)室就有過風(fēng)險(xiǎn)預(yù)警:Fomo3D 游戲的智能合約存在隨機(jī)數(shù)漏洞可被利用,F(xiàn)omo3D 及所有抄襲源碼的山寨合約均存在該安全漏洞。
然而通過進(jìn)一步的分析下,我們發(fā)現(xiàn)這里不少地方非同尋常:
1、我們發(fā)現(xiàn)多個(gè)地址共同參與,分工明確,并按照一定的比例分賬。并且攻擊規(guī)模極大,前后共發(fā)起 5W 筆交易,創(chuàng)建且銷毀了 2W 多個(gè)子合約。通過結(jié)合 AnChain.ai 的態(tài)勢(shì)感知和安比實(shí)驗(yàn)室的逆向分析,首次將該黑客團(tuán)伙精確定位,我們把該團(tuán)伙稱為 BAPT-LW20 (Blockchain APT – Last Winner)。
2、BAPT-LW20 團(tuán)伙頭目(此次攻擊合約的創(chuàng)建者)還創(chuàng)建了其他 30 多個(gè)未開源的合約,而這些合約似乎還把黑手伸向了其他游戲。
3、根據(jù)之前在 Reddit 上提到隨機(jī)數(shù)漏洞的技術(shù)細(xì)節(jié),攻擊者要想攻擊獲利,成功率通常都不超過10%,然而最新的攻擊合約交易數(shù)據(jù)顯示,其成功率超過80%,大大提升了攻擊的效率,成功實(shí)現(xiàn)了在4天時(shí)間內(nèi)攫取1200萬人民幣,BAPT-LW20 到底怎么做到的?
4、攻擊合約在Last Winner上線前20天就部署好了,難道是游戲項(xiàng)目方提前泄露了合約細(xì)節(jié)?
雖然還有不少未解之謎,但 BAPT-LW20 黑客團(tuán)隊(duì)的神秘面紗終將揭開。目前安比實(shí)驗(yàn)室正在聯(lián)手 AnChain.ai 抓緊時(shí)間,進(jìn)行更加深入的分析,盡快把黑客組織的攻擊行為完整地展現(xiàn)給大家,請(qǐng)大家耐心等待。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
