EOS游戏Tobet 于2018/12/19被恶意账户kfexzmckuhat攻击,使用的攻击方式为回滚交易攻击,据Beosin(成都链安)团队分析,攻击原理可能为:在下注时进行交易回滚,下注之后到交易回滚这段时间内,当前节点的数据库中会短暂存在下注数据;而Tobet是通过合约外轮询节点数据库的方式查询下注,之后会在合约外开奖将结果传递给开奖action;当攻击者不断下注并回滚交易时,由于下注和Tobet轮询使用节点相同,Tobet开奖轮询能短暂查询到数据库下注信息并且进行开奖。但是攻击者的下注并没有成功,而合约会不断为其开奖,导致无本套利。目前有关方面已经推出修复方案:采用读写分离的方式修复,读取采用read-only的节点,写入采用另一个节点,以规避该漏洞风险。
打赏