慢雾安全团队:DApp EOSlots 被攻击手法分析
据IMEOS报道,今晨 8、9 点,EOS DApp EOSlots 遭受攻击,攻击者 aimt****rass 直接调用 EOSlots 合约的 transfer 方法进行下注,从而无需转账 EOS,并非“假 EOS 攻击”,是“空手套白狼”的效果。该攻击手法早在 2018 年 9 月 14 日黑客攻击 EOSBet 时我们就预警并发布过技术分析,漏洞原因是项目方在合约的 apply 中没有校验 transfer action 的 code == N(eosio.token)。该漏洞原理及防御方法已收录在慢雾《EOS 智能合约最佳安全开发指南》,建议开发者及项目方研究、学习下。此外我们已通知目标交易所封堵黑客获利所得 EOS。