EOS FOMO3D遭攻擊 資金池直接變負數

作者｜賈大有

編輯｜楊舒芳

近日，慢霧科技發布的預警稱，部分惡意EOS合約存在吞噬用戶RAM的安全風險。此外，FOMO3D的山寨遊戲EOS Fomo3D已經遭遇整型溢出攻擊。

7月25日，慢霧科技發布了EOS Fomo3D遊戲合約遭遇溢出攻擊的預警。遭受整型溢出攻擊後，合約資金池變成負數。

慢霧科技向沖科技表示，情報來源於幣乎的文章。

據介紹，EOS Fomo3D代碼中本身存著bug。主創團隊用code許可權開啟了用戶賬號的後門，一旦使用「updateAuth」操作，系統許可權就會授予代碼，掌控代碼的人會間接掌握EOS的轉賬權。中文開源社區中的用戶「神農大哥」測試後證實，用戶沒有給出私鑰的情況下，EOS全部轉到了合約賬戶上。

測試證實，遊戲團隊的code許可權可以繞過私鑰，直接轉走用戶的EOS。

更嚴重的是系統的整型溢出問題。EOS Fomo3D遊戲被整型溢出攻擊後，智能合約內部數據已經損壞。之後團隊發布公告，稱遭遇溢出攻擊，技術正在修復。

此前，就有報道指出，EOS代幣合約存在整型溢出的問題，另外還有許可權檢查不嚴謹、API函數不規範使用、常規代碼錯誤等問題。

慢霧科技表示，細節暫時不直接公開。Keywolf告訴沖科技，需要等交易所、錢包、DApp等方面進行修復。在防禦方面，相關項目方在做轉賬操作時，需要嚴格判斷目標地址是否為惡意合約地址。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！