EOS dApp 漏洞盘点分析-EOSBet 假充值漏洞2

Written by WeaponX@零时科技

本文所有过程均在本地测试节点完成

文章用到的所有代码均在 https://github.com/NoneAge/EOS_dApp_Security_Incident_Analysis

0x00 背景

EOSBet在2018年10月14日遭到黑客攻击，根据EOSBet官方通告，此次攻击共被盗142,845 EOS（折合人民币510万，10月14日价格）。

0x01 技术分析

由于EOSBet官方在2018.09.14被黑客攻击后，将源代码开源至gitlab上，经过分析EOSBet官方合约eosbetdice11的转账记录，我们初步判断黑客可能是利用了转账通知伪造攻击。我们就直接分析源码来寻找安全问题。

首先，我们审查一下EOSIO_BAI_EX

这个代码在2018年9月14日被黑客攻击后已经修复相关漏洞，验证了transfer的调用者只能是eosio.token，也就是说只有支付了eosio.token发布的EOS才能进行相关的游戏操作。

这块代码是没有问题的。然后，我们审查一下transfer函数

验证转账账户不是自己或转账账户不是eosbetcasino才能进行相关的游戏操作。问题就出在这，EOSBet没有验证转账消息是否和自己有关就开始了相关操作。

黑客可以通过创建两个子账户A和B，只要给B账户部署以下合约就可以子账号间的转账A->B时将转账通知recipient抄送给eosbetdice11，进行相关的抽奖游戏且不用消耗任何的EOS，简单来说就是输了不用赔钱，赢了还能赚钱。

0x02 攻击复盘

创建eosio.token账户

部署eosio.token合约并初始化

创建游戏账户、开奖账户和攻击者账户

编译攻击者合约并部署

设置账户随机权限和开奖权限

向相关账户冲入代币
部署游戏合约并初始化

模拟黑客发起攻击

可以看到，因为黑客的attacker合约require_recipient(N(eosbetdice11))，eosio.token又将转账通知发送给了eosbetdice11。查询相关账户的余额可见黑客控制的账户总余额没有变化，EOSBet账户金额也没有变化，却生成了游戏订单。

对订单签名并开奖

开奖成功，黑客中奖

0x03 后记

EOSBet官方在受到攻击后做了以下加固，在transfer函数中对转账的付款人和收款人做了限制，必须有一项是合约本身。也就是说，转账和自身合约有关的才会去处理。至此，EOSBet才正确的修复了假充值漏洞。

0x04 修复方案

零时科技安全专家建议，要防止转账通知伪造必须在处理转账交易时要验证以下内容：

通知是否来自eosio.token，即只处理eosio.token发送的通知转账发起人或者接受人是否是自己，即转账必须跟合约本身有关，不处理其他合约的转账通知

0x05 Refer

https://medium.com/@eosbetcasino/eosbet-statement-on-hack-and-1st-dividend-distribution-a5c9aa617eaf

https://gitlab.com/EOSBetCasino/eosbetdice_public