Last Winner游戏“过不去”的黑客:智能合约史上最大规模攻击事件回顾

2个月前 金钱报

8267

本文作者: 金钱报


智能合约漏洞不断被挖掘、披露和扩散的同时,一些人在利用漏洞零散获益,另一些人在精心筹谋部署系统化、工程化的谋利。心有多大,舞台就有多大,于是他们成功演出智能合约史上最大规模的黑客攻击,震慑众人。

史上最大规模智能合约攻击“花落”Last Winner

8月17日,据安比(SECBIT)& AnChain.ai联合实验室发布消息称,BAPT-LW20黑客团伙发动史上最大规模攻击,利用Last Winner区块链游戏的空投漏洞,累计获利超13,000ETH,价值约2600万人民币。

据悉,该黑客团队控制了5个地址,通过自动脚本,在不到一周的时间内,持续对Last Winner发动累计超过5万次攻击,不仅从游戏空投奖金池中获利5,194个ETH,更成功抢夺第一轮游戏的最后大奖7754.7ETH。

金钱报注:BAPT-LW20 团队是由AnChain.ai 团队和安比(SECBIT)实验室命名,全称为Blockchain APT – Last Winner。

Last Winner:传销加持、闪电吸金、席卷以太坊网络的类FOMO3D游戏

Last Winner (以下简称 LW)是一款基于以太坊智能合约的 DApp 游戏,8 月 6 日凌晨上线,游戏合约地址为 0xDd9fd6b6F8f7ea932997992bbE67EabB3e316f3C,是一款类FOMO3D的区块链游戏,继承了FOMO3D的玩法,并有被广为传颂(传销)的多项甜头

· 诱人的推广(拉下线)奖励;

· FOMO3D中国区首款APP,简化了操作,降低了参与门槛;

· 相比原版FOMO3D,LW修改了空投游戏参数,使得空投奖励提高了10倍;

· 内置以太坊钱包基础功能,解决了大部分用户无法安装浏览器钱包插件问题;

· 游戏界面更美观,体验更流畅,玩法更刺激......

LW一经推出,就有大量资金涌入和玩家入场,短短几天就席卷了整个以太坊网络,8 月 8 日- 9 日,在LW 和 FOMO3D 超海量交易的共同作用下,以太坊未确认交易数创年内新高,平均 Gas 费用一度飙升至正常水平的10 倍以上。

来源:安比实验室

国人专属、传销加持

LW游戏传播速度极快,大小微信群和朋友圈皆被刷屏,且各大论坛、媒体、微信群内,皆可见到内容如出一辙、铺天盖地、传销味浓重的推广软文(如下图),不过英文资料极少,LW游戏似乎转为国人打造。

据区块律动调查发现,负责Last Winner推广运营的正是资金盘传销组织蚁群传播IAC/ADC,而该组织有广阔的人脉网和极强的推广(拉下线)能力,在LW游戏开始时就已经积攒了 2 万人参与注册,LW游戏开始 3 天之后就进行了超过 22 万次的交易量。

来源:区块律动

原版FOMO3D的开发团队也表示,LW背后的运营团队准备了 20 万 ETH 来进行自动刷量交易。因此,该游戏可能是一场精心布局的传销游戏,初期利用机器人发起批量交易,伪造游戏活跃假象,吸引不明所以的新用户入场。

闭源设计、疑点重重

此外,安全公司也一早就注意到LW的诸多安全疑点并发出告警。

8月7日,第三方大数据评级机构RatingToken安全审计团队公布,LW智能合约安全检测得分为2.90(满分5分),存在12个安全风险,合约安全系数较低。

金钱报APP 8月8日讯,安全公司PeckShield捕获到LW游戏合约地址的持续高频交易导致以太坊网络拥堵,并指出该游戏的代码尚未开源,存较大风险;

此外,安比实验室则更是先后在多篇分析文章中对LW提出诸多质疑:

· 未公开源代码,有违智能合约游戏或DApp公开透明的基本特点;

· 疑似直接拷贝了 FOMO3D 的源码,但新增了 10 余个可疑未知函数;

· 游戏合约存在大量非正常交易,且伴随着大量合约的创建与自毁,与正常人类调用行为特征偏离很大;

FOMO3D游戏漏洞一脉相传:LW遭攻击实非偶然

7月6日,FOMO3D游戏合约上线,并迅速走红。7月23日,Reddit上有用户爆料 FOMO3D 存在空投漏洞,一天后,安比实验室和派盾(PeckShield)科技也分别发出预警FOMO3D 游戏及所有抄袭源码的山寨合约皆存在随机数漏洞可被利用;原本设计上随机性较大的空投游戏可通过特殊手段操纵,极大提高中奖概率。

不过,在市场有所警觉前,黑客早有行动。经安比实验室事后调查,早在FOMO3D上线后的2天(78),BAPT-LW10团队就最先成功利用原版 FOMO3D空投漏洞并获取奖励,几次调优后的攻击合约最高回报率可达90%,并先后攻击过原版FOMO3D、Last Winner 以及其他山寨版 FOMO3D游戏。

金钱报注:BAPT-LW10团队由安比实验室命名,据安比调查,该团队的攻击合约地址正是热门游戏 Zethr 的八位核心开发者之一,代号“ Etherguy”。且安比实验室认为,从调用规模上看,Etherguy (BAPT-LW10) 主要还是出于游戏同行研究目的,并无太多获利。

可见,类FOMO3D游戏的安全短板早已暴露。而据安比实验室研究员p0n1称“LW游戏空投奖励代码与 FOMO3D 的相似度达 91%,极可能存在同样漏洞,频繁活跃的黑客不可能没注意到这一点”。

一脉相承的漏洞,丰硕的营销成果,出众的吸金能力,高额的空投奖励…...种种“过人事迹”都为后续LW游戏引来黑客攻击买下伏笔

LW游戏最大赢家养成:不怪漏洞不够新,只怪黑客太认真

来源:安比实验室公众号

根据ANCHAIN.AI的区块链态势感知系统监测数据,安比实验室发现多个地址缠绕在LW游戏合约四周,且这些地址皆存在诸多类似而可疑的行为模式,当即预判黑客极可能是通过这些不明合约成功攫取LW内的以太币,于是展开了追踪。调查发现,BAPT-LW20 团队是通过创建智能合约对LW游戏合约进行攻击。具体实施方案大致是

「先创建一个攻击合约,然后调用特定函数创建1000个新的代理合约,控制几个特定地址不断调用攻击合约,攻击合约再调用之前创建好的“符合某些条件的”代理合约,从而创建出新的子合约,并以子合约的身份参与 LW 游戏,购买游戏道具,进而获取空投奖励。」

该方案成功的关键,是要保证子合约满足空投条件且一定能够获利,而BAPT-LW20 团队通过疯狂创建代理合约达成了这一目的。受其控制的1000个代理合约地址被循环用于推算各个地址下一次新建的合约地址,而推演出的新地址正是空投游戏中奖数字的随机源,在筛选出符合条件的代理合约后再创建出新的子合约,然后发动攻击,如此可极大增加中奖概率。

据安比实验室透露,BAPT-LW20 团队对LW游戏发出的攻击交易几乎必定会获得空投奖励,回报率在12.5%400%不等,意思是,黑客在攻击交易中投入0.1个ETH,即可换回0.125个-0.5个ETH不等。

其中,获利最大的是以0x820d地址为首的团队,该团队在短短6天时间内,共发送近5万笔交易,攫取 5194 个 Ether,获利价值将近 1200 万人民币。当然,达成上述功效的作案手法经历了多次实验、改进与优化

小试牛刀:原版FOMO3D游戏充当小白鼠

0x820d地址可视作BAPT-LW20 团队的“领头羊”,它是所有攻击合约的部署者,在攻击LW游戏前,多次对原版FOMO3D及其他山寨游戏发起进攻,并对攻击方案进行调优。

· 0x820d地址最早活跃于7月20日,表现为收到来自 0x73B6地址转入的10个ETH,且0x820d随即部署了第一个合约,但兴许是未达预期,该合约未投入使用;

· 3分钟后,0x820d 部署了第二个合约,并对FOMO3D展开攻击,其间经历了一组准备工作设置、若干次失败的合约调用以及2次调用成功但零收益的尝试;此后的14个小时内,0x820d又相继部署了8 个合约试图优化并进行攻击测试,都以失败告终;

· 直到部署了合约 0xBad7,黑客才首次顺利完成攻击,以 0.1 ETH 的投入换回0.125ETH,7月21日-23 日三天内,该合约累计被调用11,551 次,可算小有所成。

· 7月23-24日两天内,0x820d部署了两个新的攻击合约,分别对FOMO3D山寨版游戏老鼠会 RatScam和一个名为 FOMOGame的山寨游戏发动了攻击,前者发动了2,299 次攻击,后者仅调用126次就停止了。

· 7月25-27日三天内,0x820d 又前后部署了 10 个新合约进行优化与攻击测试。并于7月26日上线新版攻击合约(0x5483,该合约实现了受攻击合约地址的可配置,因此 0x820d 在接下来的几天中,持续混合攻击 FOMO3D 原版、RatScam、FOMOGame 等游戏,累计发生23,835 笔交易,与此同时,攻击团队继续部署若干个新合约进行调优测试。

BAPT-LW20 团队在7月底对原版FOMO3D,RatScam以及FOMOGame展开的这一波混合攻击一方面进行了不同程度的攫利尝试,另一方面,也为其后续展开更大规模的攻击进行了充分演练

训练有素:集中火力攻击LW游戏

8月6日,Last Winner 游戏上线。第二天,0x820d 团队就拿出“训练”已久的攻击合约(0x5483发动攻击,在8月7日-11日四天内都集中火力持续利用LW的空投漏洞进攻。并在8月10日,0x820d 调用该攻击合约(0x5483)的withdraw接口,提走ETH余额,暂停了该合约的攻击。

与此同时,0x820d 团队又部署了新版攻击合约0x9C10,发起超过 30,000 笔交易,持续进行攻击。

AnChain.ai 提供的BAPT-LW20团队攻击合约每小时攫取 ETH 数据,8月7号开始发起对LW的攻击,8 月 11 日左右停止。短短4天内,该合约平均攫取近100 ETH/小时,约22万人民币。

来源:安比实验室

伺机而动:终极大奖收入囊中

除空投奖励外,BAPT-LW20 团队还未放过LW的终极大奖。一边利用攻击合约获取空投奖励,一边监控LW游戏状态,并直接使用自身地址购买道具参与游戏,多次尝试夺取最终大奖。

8 月 17 日上午,LW游戏第一轮结束,终极大奖由BAPT-LW20 团队控制的五个地址之一(0x5167)获得,奖金总额达7,754 以太币

来源:安比实验室

提走大奖之后,该团队又继续调用合约攻击 LW 游戏(如下图所示)。

来源:安比实验室

此外,从BAPT-LW20团队在LW游戏中的交易量占比和攫取到的ETH占比也可看出,其发送的交易量仅占总交易量的9.877%,却攫取了LW奖金池中49%的奖金,可以说在获奖概率上吊打LW游戏的其他普通玩家。

来源:安比实验室

区块链安全界大底都会记住Last Winner这款游戏,不因其比FOM3D更有人气,而因其在随机性与公平性上遭受的巨大讽刺与精巧算计。

追击者的回首:斗智斗勇、紧张刺激

BAPT-LW20团队的攻击方案由安比实验室与AnChain.ai 团队率先合力揭发,并于8月17日发布Last Winner 的最后赢家—智能合约超大规模黑客攻击手法曝光》长文,详细阐述了事件分析经过。

谈到对本次智能合约攻击事件的评价,安比实验室创始人郭宇认为,短时间内完成获益如此巨大的攻击,主要在于BAPT-LW20团队攻击方案的精巧设计和把控,体现在多个方面:

· 工程化水平高:从技术上看,黑客部署的攻击合约有极高的工程化水平,可多人调用,可协作攻击,能较好地分散权限与资金,同时降低出问题或暴露风险;

· 成功率可控:利用预先创建的代理合约提前推演和筛选符合空投奖励的合约,然后实施攻击,极大提高了攻击成功概率,减少无效攻击;

· 攻击目标可配:攻击目标对象可以作为参数传入,因此一早创建的攻击合约成为可复用的通用型武器,为其在 LW 游戏上线前进行攻击合约的调试优化创造了可能。

· 攻击成本可控:由于攻击目标可配,转换攻击目标的成本低廉;且攻击合约的Gas优化做到了极致,无论是创建代理合约、发起攻击、提前预判,交易Gas消耗都十分小,攻击成本低。

· 攻击时间精准:攻击时机的把握与攻击目标的选择,是该团队获如此高额收益的一大关键,由于事先训练好了攻击合约,在LW上线奖励池累积资金最旺时,集中火力发动持续攻击。

越精巧的攻击设计,追击还原越复杂和辛苦。根据安比实验室向金钱报描述的整个追击过程,他们主要从四个策略上进行了分工协作。

「策略一」行为模式特点总结:行径可疑。

结合AnChain.ai 公司提供的态势感知数据,安比实验室首先对围绕在LW游戏合约附近的“常客”地址进行了分析,发现存在大量如出一撤的行为模式:1)持续往某合约地址上发起交易,并附带 0.1 个以太币;2)不少交易状态为失败;3)成功的交易皆涉及大量“内部交易”;4)“内部交易”调用逻辑十分复杂,并伴随大量合约的创建和自毁。

「策略二」可疑地址深度追踪:攫利明显。

鉴于前期发现大量交易,安比实验室迅速锁定几个关键地址,并进行深度追踪,分析其交易类型及交易流程,发现存在大量类似交易,且交易最终皆可获得超高回报率。

「策略三」合约部署历史回溯:攻击手法析出。

在大量高额回报的攻击交易中,锁定攻击合约的主要部署者,追踪其创建合约历史,分析各版本攻击合约调用情况,以及各版本的优化项。

「策略四」攻击合约动态监测:掌握新动向。

实时监测已锁定的可疑合约地址的动态进展,捕捉到BAPT-LW20团队拿走了LW游戏的终极大奖,并且部署了新的攻击合约,开始攻击一个新游戏。

安比实验室研究员p0n1在回顾本次LW游戏攻击事件分析过程时坦言:“整个过程既紧张又兴奋,一方面很钦佩这批黑客的智力、毅力以及信息收集能力,但另一方面也对愈演愈烈的智能合约安全态势表示忧虑,原本类似的安全事件很多都可以避免的

他向金钱报表示,目前各山寨游戏项目方,一味在游戏运营上发力,严重缺乏智能合约安全意识。在FOMO3D的空投漏洞被多次报道之后,依旧原封不动抄袭源码,而未做任何安全改进,给黑客留下肆意掠夺游戏资产的机会。虽说游戏资产名义上不属于任何人,但游戏项目方的表现是对普通玩家不负责任。目前国内大多游戏参与者对此类空投漏洞知之甚少或漠不关心,面对黑客影响游戏规则毫无还击之力,只能坐以待毙。

金钱报小结

哪里有财富,哪里就有觊觎财富的匪徒。在继各大中心化交易所攻击之后,黑客又寻到了侵夺数字货币财富更好的方式,把区块链游戏的薅羊毛发挥到极致。

区块链游戏的资金募集由智能合约完成而非中心化机构操控,交易数据上链可追溯且造假困难,相比于互联网时代的庞氏骗局,诸多玩家因看重该类游戏的公平性、透明性以及表面的高收益而放心下注,却往往忽略了一点,智能合约安全性始终是悬在区块链游戏上方的达摩克利斯之剑,黑客从未放弃伺机攫利,他们随时可能掀起一场攻击风浪,将区块链游戏那点先天技术优势抹杀得荡然无存

攻击者伸进各类区块链游戏的魔爪 ,不仅侵掠了普通游戏玩家的正当权益,还严重影响到此类游戏的公平性与生态平衡。且当攻击者们在地球上某个角落揭开香槟举杯欢庆时,丝毫无需忌惮来自任何国度、任何法律的制裁与追击,智能合约这片蛮荒之地上的安全保卫战,艰难而无序。

飞速发展的区块链技术被视作游戏行业发展的“新动能”。不过区块链游戏因其野蛮发展和狂热逐利,有一个不算良好的开端。游戏项目方在注重运营的同时,应当将游戏产品的安全性提上日程,加强与安全企业的合作,抢占先机突破安全瓶颈,在争议中进化和成熟,真正打开游戏行业破局新方向

本文来源: 金钱报    本文作者: 金钱报

声明:本文系金钱报原创稿件,版权属金钱报所有,未经授权不得转载,已经协议授权的媒体下载使用时须注明"稿件来源:金钱报",违者将依法追究责任。

发表评论