本文来自:碳链价值,作者:李画,星球日报经授权转发。生成随机数不是应该留给人类来做的任务。——MadsHaahr区块链的世界没有真正的随机数,但随机数却是区块链游戏之魂,至少在目前阶段。所以,当伪随机数让DApp流下第一滴血后,DApp却无法断臂求生。潜伏的黑客们就像嗜血的鲨鱼,在嗅到腥味后迅速聚拢过来,围攻这个有着天生缺陷的猎物。Luckyos、EOS.WIN、DEOSBET、FairDice、EosRoyale、EOSDice、FFGame……这些热门DApp游戏先后被攻击,因随机数漏洞而面临生死危机。“没有被攻击过随机数的都不好意思说自己做的是DApp”,开发者们如此自嘲。本文采访了一直关注DApp随机数漏洞的慢雾科技安全研究员Johan,并就代码细节问题咨询了资深DApp开发工程师高金,试图通过这篇文章,呈现出随机数的前世与今生、原罪与救赎。原罪:计算机的世界没有真随机数
真正的随机数只存在于物理世界中,比如掷骰子的结果,比如电子组件的噪声。最早的随机数生成器是骰子,早在公元前2600年,人类就已经用四面骰来玩抛掷游戏了,迄今为止,它依然是最值得信赖的产生随机数的方法。
但骰子显然不能满足现代世界对随机数的需求,于是在1995年,RAND公司推出《百万乱数表》。RAND先通过随机脉冲发生器生成大量随机数,再把这些数字集合起来组成随机数字书,免费提供给人们使用。这本书是20世纪随机数领域的重要著作,也是人类历史上第一次产生如此大量的、高质量的随机数。
AEX交易所:警惕不法人员冒充AEX进行:官方公告,近日,有不法分子冒充AEX官方工作人员进行,承诺高额收益,诱导用户充值入金进行期货交易,并在用户充值后冻结其资产,以缴纳保证金才能解除冻结资产为由,让受害者充值更多资金。
AEX交易所再次申明,AEX不会为用户提供投资推荐,更不会承诺高额收益,请广大用户警惕并甄别不法分子的行为,凡是与AEX交易所相关的活动、信息,请务必以AEX官方公告为准,非官方渠道提供的下载链接,请勿下载安装,以避免造成资产损失。
如有发现或仿冒AEX平台,请联系AEX官方在线客服举报,如有用户上当受,请及时报警处理,AEX将尽力协助。[2020/6/23]
与此同时,阿兰·图灵在计算机FerrantiMark1中首次内置了随机数生成指令,利用热噪声可以一次性生成20个随机比特。1999年,Intel更进一步,在i810芯片组上集成了芯片级的真随机数生成器,通过热噪声产生本地源的随机数。
不过,TRNG每秒只能产生有限的随机比特,随机数生成速度低,致使软件的工作频率受限,而且TRNG对外界干扰极其敏感,需要耗费大量功率避免非随机信号对信号源的污染。伪随机数应运而生。冯·诺依曼创造了最早的伪随机数生成器,通过给出一个确定的随机数种子,由确定的算法在每次生成同样的随机数序列。只要种子不变,伪随机数的数序也不会变。自此以后,猜种子破解随机数便成为黑客的常规攻击手段,而事实证明,具有好的质量且不易被攻克的种子很难寻觅。但即便如此,因为效率的缘故,计算机软件还是不得不依赖于伪随机数。在当前的编程语言中,C++、R、Python、Ruby、PHP等都采用了梅森旋转算法作为默认的伪随机数生成方法,它由松本真和西村拓士在1997年发明。梅森旋转算法把寄存器当时或者之前的状态作为种子来源,通过线性反馈移位寄存器对输入进行移位旋转,周期为一个梅森素数。该算法产生的伪随机数质量好、产生速度快。伪随机数的种子来源也可以是真随机数——CPU通过TRNG不断产生真随机数,并将真随机数存储在熵池中,当软件需要使用随机数时,从熵池里提取一些真随机数作为种子输入到PRNG中,通过PRNG得到伪随机数序列。天堑:区块链不支持生成随机数
警惕假冒imtoken“交易回滚”局,部分赃款已流入币安交易所进行套现:据数字资产安全追踪平台CoinHunter报道,近期有用户提交丢币事件反馈称遭受imtoken“交易回滚”。钓鱼账号创建假的imtoken官方电报群并充当官方技术人员身份,引导“搬砖套利\"被用户在指定网站输入私钥进行所谓“交易回滚”操作进行二次。目前,黑客已将0xfc74455开头地址的赃款转移至币安交易所进行套现。CoinHunter提示,该黑客曾在币安交易所至少套现数十次,接下来可能还会有大量赃款仍以此类方式转移至币安交易所套现,建议相关交易所及时采取行动冻结相关黑客账户,进而帮助受害者挽回损失。[2020/4/15]
传统的伪随机数生成算法或多或少与单台机器的物理状态或运算状态相关,不同的机器,或者说不同的节点,会有不同的运算结果,这在区块链上是行不通的。区块链是一个分布式的系统,它要求各个节点的运算结果是可验证、可共识的。区块链需要从零开始设计崭新的随机数法则,从而实现不同节点上的智能合约可以使用相同的随机数。有三种解决方式。第一种是让可信第三方为合约提供随机数;第二种是通过基础合约实现伪随机数生成器,为其他合约提供一致的随机数;第三种是让所有节点上的合约可以采集到相同的种子,再通过伪随机算法计算出相同的随机数序列。第一种方式最大的缺陷是需要引入第三方。该第三方是否值得信任,能否能提供高质量的随机数均是问题。除此之外,区块链是警惕中心化的,而第三方在某种程度上是中心化的,这与一些DApp开发者的理念不相符合。在以太坊上,Oraclize是为链上节点提供随机数的第三方。Oraclize是一个预言机,独立于区块链系统之外,智能合约发送请求给Oraclize,当Oraclize监听到链上相关请求后,生成随机数并将结果返回区块链。
动态 | 警惕假冒EOSfinex的钓鱼网站:近日有用户举报,目前有不法分子正在以免费领取代币为噱头引诱用户进入钓鱼网站。 诱导的Memo原文大致如下: Eosfinex已通过Bitfinex推出EOS,请在以下网址(钓鱼网址)领取您的EOX代币。 请广大用户妥善安全保管私钥,切勿在来路不明的的网站上泄露有关资产或账户等重要信息,以免造成资产损失。(MEET.ONE)[2019/9/24]
第二种方式最符合区块链精神,是一个不同参与者合作生成随机数的伪随机数生成器,但它涉及到激励机制的设计问题,以及人为控制的作弊问题。RANDAO采用的即是这种方式,它以智能合约的形式封装了伪随机数生成算法和对应的业务逻辑,为以太坊提供随机数服务,任何人都可以参与生成RANDAO随机数。在随机数生成周期,每个参与者都需要提交一个数字,而来自所有参与者的数字集合将被作为种子生成伪随机数,因为无法知晓他人提供的种子,该方法产生的结果难以被破解。智能合约可以向RANDAO请求随机数,但需要支付奖金给生成随机数的参与者。
第三种方式,随机数不是从合约外部引入,而是把区块链的链上信息做为种子,由智能合约根据种子生成伪随机数。这种方法最大的缺陷就是一旦黑客知道了随机数的生成算法,也能获取正确的种子,就能轻易地对智能合约发起随机数攻击。不同于传统伪随机数生成算法中种子的私密性,区块链上的种子几乎是“透明”的:它是链上的区块信息,所有节点上的智能合约都能够取到,那么从原理上讲,黑客用于攻击的恶意合约同样可以获得这些数值。不过,因为缺乏成熟的随机数提供方,以及对中心化随机数的警惕、对链上自治的追求,通过智能合约计算随机数依然是EOS上众多DApps首选的方法,这也是DApps深陷黑客危机的原因所在。攻防:道高一尺魔高一丈
重庆酉阳:警惕以“虚拟货币”、“区块链”为幌子的非法活动:5月15日,重庆市酉阳县局联合县金融办、银监办、国税局、公积金中心、烟草专卖局、银行等多家单位开展了“与民同心、为你守护”为主题的全国打击和防范经济犯罪集中宣传活动。此次活动通过设立法律咨询台、展板、宣传海报、宣传手册等方式,向广大市民详细介绍了各类非法投资、等涉众型经济违法犯罪的新“套路”,要警惕以“虚拟货币”、“区块链”、私募入股、合伙办企业等由为幌子,警惕团伙利用亲戚、朋友、同乡身份实施、参与活动。[2018/5/19]
FFGAME可能是史上最倒霉DApp——游戏还没正式运营就遭到攻击。黑客很快破解了随机数,然后在游戏中不断获胜,轻松拿走FFGAME平台放入游戏中的初始资产,1332个EOS。FFGAME还没准备迎敌,城门就已失守。在DApp的攻防战中,攻击者们通常有两种方法来利用随机数盗取资产。第一种方法是获取正确的随机数种子,通过伪随机算法计算出游戏结果,然后根据结果下注,保证百分百胜率。第二种方法是在知道伪随机算法和种子来源的情况下,通过改变种子的数值让伪随机算法计算出自己下注的游戏结果,从而保证百分百胜率。EOSDice是一个被黑客用第一种方法攻破后,修改了伪随机数算法,旋即又被黑客用第二种方法攻破的DApp。不过,值得赞赏的是,EOSDice也是一个被攻破两次但依然坚持开源的EOS游戏。
紫辉创投创始人表示 需要警惕看待区块链技术:紫辉创投创始人郑刚接受采访时表示,目前在区块链领域,他已经投资了三个偏向技术型的项目,包括区块链技术安全、交易安全等方面。另外,还投资了利用区块链技术实现个人IP转化的项目。同时他还说道:“我同意徐小平的看法,区块链是需要被驾驭和被利用的新平台级产品和服务。但区块链还在早期发展阶段,它天然跟具有交易性质的货币代币有关联作用,很多公司利用这个进行金融的活动,需要警惕看待。”“现在社会上很多投机分子做投机的事,投资人要意识到行业发生的变化,不要参与投机的东西,但可以观察现象,参与真正的投资。”[2018/1/27]
EOSDice第一次被攻击发生在11月4日上午3:15,攻击者为jk2uslllkjfd,共被盗取约2500个EOS并转入火币。EOSDice的伪随机数生成算法中使用的随机种子主要是:tapos_block_prefix();tapos_block_num();name();game_id;current_time();pool_ol_eos.amount。种子中的后四个,也就是帐户名、id、开奖时间、合约余额都比较容易获取,随机数的安全性主要依赖于前两个种子,也就是referenceblock的信息。在EOSDice的实时开奖机制中,开奖action的referenceblock在默认状态下是执行当前action的上一个区块,该区块已经存在,其信息可以提前获取。因此,黑客可以通过种子预先算出结果,再下注。
EOSDice在被攻击后把实时开奖改为异步延时开奖,并重新上线运营。只不过二次攻击很快发生,在11月10日上午11:19,账户名为coinbasewa11的攻击者盗取了约4900个EOS,并转入bitfinex。在异步延时开奖机制下,referenceblock的指向发生了变化。开奖action的referenceblock是在下注时还未生成的区块,其信息难以提前获取,也就不能抢先计算出游戏结果。但黑客们谋划了新手段:首先,让攻击合约模拟EOSDice的游戏合约,只要两种合约运行在同一个区块,就会取到相同的种子,计算出相同的结果;然后,因为EOSDice伪随机算法的种子包括账户余额,黑客可以在攻击合约中一次次修改余额的数值来改变种子进而改变运算的结果,直到其最终满足自己的下注条件;最后,在通过上述计算“碰撞”出“正确”的账户余额后,黑客只需要向真正的游戏合约账户转入被计算好的EOS,就能保证开奖时必然中奖。
救赎:没有最好,只能更好
链上随机数问题没有完美的解决方案。区块链上不仅没有真随机数,连传统的伪随机数也没有。EOS官方示例中采用的随机数生成法类似于上文讨论的第二种方式——用不同参与者的私密数据的集合作为种子,生成难以被预测的伪随机数。以Dice为例,玩家和庄家需要提前生成密钥,把公钥先传到链上,开奖的时候再提交各自的私钥,作为种子生成随机数,再由随机数判定开奖结果。这可能是目前最安全的伪随机数生成方式,但它给玩家增加了额外的且并不轻松的操作,提高了游戏门槛,在现实中并未被广泛的采用。BM在EOS开发者群回答随机数安全问题时,提出了一个“信任区块生产者”的方案,也就是说用区块生产者在打包交易的某个特定时机获取的某些信息来生成伪随机数。虽然是在链上解决问题,但这种方法更接近于上文讨论的第一种方式——由一个中心化的第三方来提供随机数,虽然难以被破解,但提供者不一定值得信任。屡败屡战的EOS上的DApp开发者通常选用上文中的第三种方式——智能合约获取链上数据作为种子,自己生成伪随机数。在与黑客数次交锋之后,目前DApp最常用的开奖机制是“二次延时开奖+种子中不设置可控变量”。实时开奖机制下,referenceblock是上一个区块,其中的种子数据在开奖前就可被黑客获取;而二次延时开奖,referenceblock是还未生成的区块,其中的种子数据难以预测,黑客也就无法提前算出开奖结果。种子中不设置可控变量则保证了黑客不能通过改变种子的数值来操控开奖结果。不过,即便如此,“二次延时开奖+种子中不设置可控变量”也不能保证合约随机数的绝对安全,只能说在目前阶段这种方法还未被黑客攻破,相对安全。毕竟不管采用几次延时,开奖合约能获取的种子,攻击合约也一样能得到,链上的种子是“公平”、“透明”的。如何在这种不完美的情况下尽量减少随机数攻击带来的破坏,慢雾团队给出了一些实用建议:1.多用攻击者视角审查合约。2.攻击者一般是通过恶意合约完成攻击,要思考合约能从什么角度攻击随机数。3.随机数的安全与伪随机数生成算法相关,也与开奖机制相关,算法和机制要配合设计。4.伪随机数生成算法不要引入可预测种子和可控种子,避免结果被预测或被篡改。5.了解区块链上的随机数与传统随机数的差别。6.做安全审计。在项目上线和开源前做安全审计,已知的漏洞能被查出,未知的漏洞也能通过风控机制把危害降到最低。结语
“在所有的产生随机数的事物中,我认为没有什么能够超越骰子了”,FrancisGalton在1890年的《自然》杂志中如此写道。但骰子永远也不可能满足计算机应用的需求,一旦要在二进制的世界使用随机数,我们就需要做出妥协,把自己暴露在黑客攻击的危险之下。区块链世界的特殊性需要我们做出更多的妥协。因为分布式、因为透明、因为警惕中心化与渴望链上自治,在区块链上,没有真随机数、也永远不会有绝对安全的随机数。随机数带来的是一场永久的战役,在开发者与黑客之间。随机数会抗所有已知类型的攻击,但黑客也会不断发现新的攻击手段。此地无人生还。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。