游戲智能合約蹣跚學步,鏈安安全審計保駕護航區塊鏈
引子:“夫未戰而廟算勝者,得算多也;未戰而廟算不勝者,得算少也。多算勝少算,而況于無算乎?”
引子:“夫未戰而廟算勝者,得算多也;未戰而廟算不勝者,得算少也。多算勝少算,而況于無算乎?”
——《孫子兵法》
1.相關消息動態
7月24日早些時候有EOS游戲的智能合約爆出安全漏洞,相關安全團隊形容其漏洞為“薅羊毛”[1](具體分析請見引用1 )。
同一天有個關注者發現同一份合約又存在更改賬戶權限的問題,并警示進入游戲的用戶保護好自己的資金安全[2](相關闡述件引用2 )。
對此,相關團隊也進行了測試驗證[3](測試過程請見引用3 )。
7月25日,有個人用戶發現其網站主頁EOS總數出現異常,疑似受到溢出攻擊[4] (疑似事件情況請見引用4)。
事件真相正在進一步發酵中,鏈安團隊也將跟進調查事件進展。
2.事件回響
回首2016年的以太坊游戲The King of the Ether Throne, 當時也被利用了外部函數調用的漏洞,遭到通過(Unexpected)Revert 發動的DoS攻擊,導致該游戲運營出現重大問題,相應的分析鏈安科技團隊會在本周的漏洞分析連載中進行分享,敬請關注“鏈安科技”的公眾號和相關媒體的技術專欄。
鑒于目前基于EOS的游戲如雨后春筍般出現,其合約的復雜程度相較于代幣交易合約大大增加,漏洞的出現幾率隨之提高
俗話說,蒼蠅不叮無縫蛋。
一旦合約出現問題,相關游戲項目方將首當其沖,我們正在持續關注區塊鏈游戲的發展,并已經展開對游戲智能合約的漏洞測試和安全審計籌備,未雨綢繆。
但局限于目前所有類似游戲并沒有開源,我們無法對其從源碼到目標碼展開專業的形式化驗證或使用我們研制的完全自動化的驗證工具。
秉承著團隊學術背景嚴謹治學的精神,我們將在高效率高質量的全方位剖析之后,給出合約潛在漏洞的專業分析和解決方案。
3.鏈安之見
因此,鏈安科技團隊向廣大游戲合約開發者呼吁:
1、對待合約開發要以更嚴謹更規范的態度腳踏實地的為之后的順利運營打下堅實的基礎。
2、盡快將合約代碼開源,讓更多的專業人士和技術團隊參與進來,分析整理出易發生的意外事件,提升合約編寫的安全性和功能準確性,防患于未然。
3、在合約上線之前,一定要有專業的團隊對合約代碼進行漏洞檢測及安全審計。
鏈安科技團隊持續關注區塊鏈游戲合約的安全問題,已經對多個類似的游戲合約展開全面排查,一旦發現可被攻擊者利用的安全問題,將第一時間通知項目方,保障游戲項目方以及廣大用戶的利益。
引用:
1、https://mp.weixin.qq.com/s/EDSlYEA1xHGVa41Uicf8qg
2、https://bihu.com/article/992656
3、https://bihu.com/article/986206
4、https://bihu.com/article/995093
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
