零成本瘫痪EOS或稳赢所有竞猜DApp:详解CVE-2019-6199

(图片来源于网络)

01月11日起,区块链安全公司 PeckShield 率先披露了 EOS.Win 等一系列EOS竞猜类游戏遭到了新型交易阻塞攻击事件。不同于以往频发的随机数或交易回滚攻击等合约层的攻击行为,这是一种利用底层公链缺陷而发起的攻击行为。PeckShield 研究人员进行深入分析后发现,这是存在于主网层的致命拒绝服务漏洞,攻击者可发起大量垃圾延迟交易导致 EOS 全网超级节点(BP)无法打包其它正常交易,即通过阻断打包正常用户的交易进而瘫痪 EOS 网络。

同时,该漏洞也对链上竞猜类游戏造成致命威胁。目前已经有EOS.Win、FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACK DICE等多款热门游戏遭到攻击。由于该漏洞本质上属于底层主网问题,任何DApp游戏,只要依赖如账号余额或时间等相关链上因素产生随机数,都存在被攻击的可能。

PeckShield 安全人员已确认并复现该问题,并认为这是迄今为止 EOS 主网出现的最为致命的高危拒绝服务漏洞,可被黑客用来大面积攻击现有DApp,直接会影响现有几乎全部 EOS 竞猜类 DApp 的正常开奖,进而严重制约 EOS DApp 生态的发展,甚至可能导致主网瘫痪。

PeckShield安全团队第一时间(01月11日)通知了 block.one 团队,并配合进一步修复处理。同时PeckShield团队通过媒体发出预警,且积极配合block.one 团队进行漏洞修复处理。截止发稿前,block.one 已经发布漏洞补丁,并联合超级节点实施了主网升级。但PeckShield认为该补丁并不能确保 DApp 免疫该漏洞,除了 EOS 主网升级之外,还需 DApp 开发者进一步就随机数生成问题进行处理,去除可控变量如账号余额或时间等因素参与随机数生成,并引入类似DAppShield安全盾这样的风控机制,减少或避免因阻塞攻击造成资产损失。

    (block.one官方新版本1.6.0发布说明

https://github.com/EOSIO/eos/releases/tag/v1.6.0 )

下面PeckShield技术团队先详解CVE-2019-6199漏洞对EOS主网的影响:

交易阻塞攻击攻击原理:

一般的交易发送与执行过程如图所示:用户通过 cleos 客户端或其他方式将交易请求发送给 API 节点,在 API 节点处理后,最终到达超级节点进行打包出块。

 (图一:普通交易发送流程)

问题出在,EOS 公链允许正在执行的交易里发送延迟交易(即在指定未来某个时间执行的交易),从而绕过 API 节点的验证,直接加入超级节点待执行队列,同时会将这些交易信息同步给其他 BP 节点,如图所示: 

(图二:合约内延迟交易发送流程)

这样一来,攻击者便可在一个被执行的交易中发出大量垃圾延迟交易,且在每个延迟交易中都做无限循环操作,从而使得超级节点执行这些垃圾延迟交易时,都会执行超时,进而耗光可用 CPU 时间,无法打包其它正常交易,最终导致 EOS 主网瘫痪。

攻击成本预估:

如果攻击者大量的延迟交易都成功执行且上链,必然花费攻击者大量的CPU 资源。然而 EOS 主网对于 BP 执行超时的交易不上链,导致交易中出现的状态修改全部回滚,不会产生任何帐号的 CPU 消耗成本,但却实实在在消耗了 BP 节点的 CPU 执行时间,使得出块时间内无法打包正常交易。因此,攻击者实施攻击所需消耗的仅为发送大量延迟交易的那个交易的 CPU 成本。以当前CPU抵押价 50ms/EOS 计算,抵押一个 EOS 足以阻塞主网几秒,且 CPU 抵押机制可在24小时后重置,意味着攻击者可以用抵押的同一批 EOS 每天攻击一次,接连持续攻击,最终抵押的 EOS 又可以全部赎回,因此其攻击成本近乎为0。

验证性攻击测试:

基于以上分析,我们做了短暂的验证性测试。测试交易中分别发送100个和300个延迟交易,每个延迟交易中都是执行无限循环直到超时。300个延迟交易执行后的影响如下图所示: 

(图三:交易阻塞攻击后的出块情况)

从块36981513开始到块36981782结束,共269个块,大约134秒,BP产生的块中仅部分包含大量交易,其他大部分块中交易数在0~2之间。而发送100个和300个延迟交易的CPU消耗仅为4.82 和 16.5 ms,按 50 ms/EOS计算,抵押大约0.4 EOS 就能完成一次发送300个延迟交易的攻击。当然 CPU 的价格波动比较大,计算不够准确,但不难看出,黑客若妄图实施攻击,致使 EOS 主网瘫痪的成本并不高。

潜在危害及影响:

因为这个是公链层面的漏洞,不同于以往 DApp 合约层的安全事件影响,该漏洞一旦被利用,危害的会是基于主网生态上的每一个参与者,包括超级节点、DApp 开发者,乃至每一个用户。

PeckShield 最新推出的安全盾风控平台 DAppShield,会就黑客攻击特征做分析,从而就可能存在的安全风险向广大 DApp 开发者发送预警及防御举措建议。EOS.Win 是第一个利用此漏洞实施攻击的成功案例,此后,FarmEOS、影骰、LuckBet、GameBet、EOSDice、STACK DICE等多款游戏接连被攻击。而且根据攻击者的过往链上行为,黑客很可能会向全网实施“撒网式”批量攻击,预计给整个 EOS 生态内的众多 DApp 都带来持续威胁。在此之前,希望广大开发者应高度警惕,应及时采用block.one官方推荐的随机数生成方案(包含链下随机种子),做好安全布控或搭建风控系统,排查潜在被攻击的风险。

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(PeckShield)及本页链接。原文链接 https://mp.weixin.qq.com/s/6sCFxnMoAi1JpP2wV5ym-Q

白帽汇安全研究院转载2019-01-16 17:51:33 PeckShield 747