5e加好友怎么加(5e加好友)
成都链安:Lendf.Me 2500万美元被盗!黑客如何肆虐?资金去了哪儿?
免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。
小编:记得关注哦
来源:成都链安科技
事件背景:
DeFi 借贷协议 Lendf.Me 今日遭受攻击,开发团队已在 Lendf.Me 用户界面用红字提醒,呼吁用户目前不要向合约存款,此事发生,瞬间引起了外界对于区块链和数字货币安全的激烈讨论。
Lendf.Me于去年 9 月推出后因其锁仓资产价值成为 DeFi Pulse 七大 DeFi 市场之一,今日攻击者利用重入漏洞覆盖自己的资金余额并使得可提现的资金量不断翻倍,最终将Lendf.Me盗取一空。
黑客攻击事件复盘:
据成都链安反洗钱合规和调查取证系统(Beosin-AML)追踪统计,目前 Lendf.Me 损失已超2500万美元,完整攻击过程复盘如下:
此次攻击者地址为:0xA9BF70A420d364e923C74448D9D817d3F2A77822;攻击合约为:0x538359785a8D5AB1A741A0bA94f26a800759D91D,攻击者首先进行了多次攻击测试(如下图所示):
在合约部署完成后的第三笔交易(0xe49304cd3ed)中,攻击者进行了首次攻击尝试:
整个攻击事件开始阶段,攻击者的初始交易发送脚本存在问题,导致只有区块中的第一次攻击才能攻击成功,后面的交易全部抛出异常。
后面攻击者对攻击脚本做出了改动,一个区块只发送一笔攻击交易。首先分析这三笔成功的交易,可以看到攻击者的资金基本上呈现一个倍增的关系,攻击已经开始获利:
https://etherscan.io/tx/0xae7d664bdfcc54220df4f18d339005c6faf6e62c9ca79c56387bc0389274363b
https://etherscan.io/tx/0xa0e7c8e933be65854bee69df3816a07be37e108c43bbe7c7f2c3da01b79ad95e
https://etherscan.io/tx/0xf8ed32d4a4aad0b5bb150f7a0d6e95b5d264d6da6c167029a20c098a90ff39b4
到此时,攻击者已经完成对攻击过程的确认,之后的连续多个交易则是攻击者注册了多个代币地址用于代币兑换:
https://etherscan.io/tx/0xc906fc184c6fd453b01d3bc04612cf90e8d339edfe1611e25baa47eb6e9ec080
以0xc906fc184c6f交易为例,0x06af07097c9eeb7fd685c692751d5c66db49c215是代币CHAI的合约地址,区块高度9899740~9899741基本上全部在注册代币。
之后攻击者继续发起攻击,可以看到,每次攻击后,攻击者持有的资金(imBTC)基本会翻一倍。
通过这样不断翻倍的过程,在交易0xced7ca81308时,基本已达到imBTC的最大存量。
之后利用获利的imBTC借入其他代币,如下图所示:
黑客攻击手法分析:
以其中一笔交易0x111aef012df47efb97202d0a60780ec082125639936dcbd56b27551ce05c4214为例:
lendf合约地址:0x0eEe3E3828A45f7601D5F54bF49bB01d1A9dF5ea
imBTC合约地址:0x3212b29e33587a00fb1c83346f5dbfa69a458923
第1步,正常执行supply函数,存入113.21475453 imBTC,这里未进行重入。
第2步,再次调用supply函数,存入0.00000001 imBTC,在这次交易中,如第3步攻击者触发了supply函数中利用transferFrom函数转入代币时会通知发送方的特性,在发送方的代码中回调了Lendf的withdraw函数,取出了第1步supply中存入的113.21475453 imBTC以及在本次交易的上一笔重入交易中的113.21475516 imBTC,总共为226.42950969 imBTC,重入之后再次回到transferFrom剩余的代码中,继续执行将0.00000001 imBTC转入lendf的操作。
重入攻击的具体代码执行过程如下:
1、进入supply函数
2.调用内部doTransferIn函数,该函数会调用imBTC的transferFrom函数进行代币转账操作
3.在imBTC中,会调用攻击者指定合约(0x538359785a8D5AB1A741A0bA94f26a800759D91D)的tokensToSend函数,攻击者在函数中执行了重入操作,该重入操作调用了lendf的withdraw函数,取出了226.42950969 imBTC。
4. withdraw执行完成后,继续从1583行后的supply函数剩余的代码,这部分的代码主要是记录账本数据,攻击者余额翻倍的错误也是在此处发生的:
整个攻击过程,举个例子:
1> 原先攻击者存款100 imBTC,第一次supply存入100 imBTC,攻击者账户余额为200 imBTC
2> 第二次supply存入0.1 imBTC,这次发生了重入
2.1 在supply之初,读取用户余额记录,存入临时变量temp,值为200.1
2.2 调用imBTC的transferFrom函数转入代币时发生了重入,攻击者调用withdraw取出了当前账户的200 imBTC,攻击者账户余额记录为0,攻击者获得了200 imBTC。withdraw执行完成后继续执行transferFrom,将0.1 imBTC转入lendf
2.3 继续执行supply,用临时变量temp(200.1)更新用户余额记录,攻击者余额记录变为200.1。
此时攻击者余额记录中为200.1 imBTC,手中还有200 imBTC,可以继续翻倍攻击。
安全防御建议:
针对此次攻击事件,我们给予区块链企业如下的安全建议:
1、进行重入防护:比如使用OpenZeppelin 的 ReentrancyGuard;
2、先修改本合约状态变量,再进行外部调用
3、上线前进行必要的安全审计
被盗资金流向:
攻击者在攻击得手后进行了资金转移,目前资金去向地址如下:
imBTC Token
0x3212b29e33587a00fb1c83346f5dbfa69a458923
Tokenlon交易所
0xdc6c91b569c98f9f6f74d90f9beff99fdaf4248b
OneInchExchange交易所
0x11111254369792b2ca5d084ab5eea397ca8fa48b
Compound USD Coin借贷平台
0x39aa39c021dfbae8fac545936693ac917d5e7563
Compound Wrapped BTC借贷平台
0xc11b1268c1a384e55c48c2391d8d480264a3a7f4
钱包地址
0x3dfd23a6c5e8bbcfc9581d2e864a68feb6a076d3
Chai Token
0x06af07097c9eeb7fd685c692751d5c66db49c215
AugustusSwapper交易所
0xf92c1ad75005e6436b4ee84e88cb23ed8a290988
根据成都链安AML对攻击者地址0xA9BF70A420d364e923C74448D9D817d3F2A77822的流出资金进行的持续监控,绘制的攻击者资金流向图如下:
专访5E对战平台:“我们对自己的反作弊团队的实力非常有信心”
出品|人民电竞
作者|王思奇
编辑|Kevin
题图|被访者提供
说起对战平台,不少电竞玩家可能会认为这是上个时代的产物,然而CS:GO是一个十分特殊的存在,它不但对个人设备的要求高,对游戏服务器的要求也高,这都直接影响着玩家的游戏体验。因此除了官方服务器之外,不少拥有超高服务器配置,有着独立天梯排名系统社区的对战平台已经成了诸多CS:GO玩家进行游戏的不二之选,在国外甚至已经有对战平台举办了CS:GO最高规格的赛事Major。而人民电竞这次采访到的5E对战平台便是亚洲拥有最多注册以及活跃玩家的第三方CS:GO游戏对战平台。
最近5E对战平台成为了全国首个启用人脸识别技术的第三方游戏平台,以此防止作弊玩家进入,并且取得了不错的效果。此后,又因全新推出的订阅服务以及有争议的服务内容而成为了几乎所有CS:GO玩家的话题中心。因此我们邀请到了5E对战平台的VP——27STEEL和我们聊聊关于5E对战平台、5E优先匹配、人脸识别。
人民电竞:5E近期推出了新的优先匹配机制系统,这样做的原因是什么?又对天梯匹配有什么效果?
27:5E 对战平台优先匹配系统是我们自 2020 年 2 月就推出的一个全新优化匹配环境的系统,我们想让更多渴望能好好打 CS:GO 的玩家更轻松的享受游戏,随意降低门槛导致优先匹配环境变差也是不可取的,因此我们接入了阿里云的人脸识别技术作为全新的必要门槛之一,让更多5E对战平台的新玩家也能轻松享受高质量的游戏对局。
由于每一位玩家都是通过人脸识别进入优先匹配的,而人脸ID数据库储存在阿里云,会直连公安系统,且一旦封禁就再也无法享受优先匹配的优质环境,因此大部分玩家也会更珍惜自己的优先匹配账号,作弊率与恶意行为的概率自然降低很多。
人民电竞:人脸识别系统对于很多玩家来说还有些陌生,对于反作弊有着什么样的作用?
27:作弊玩家身份信息关联账号将被连坐封禁终身,玩家的人脸信息也将无法完成人脸识别再次进入优先匹配或注册任何 5E 平台账号,更不可能参加由 5E 平台所主办的任何赛事。而通过非正常渠道获取账户或非本人完成扫脸的账户也会有可能被作弊连坐封禁。而 5E 对战平台使用由阿里云提供和支付宝同等支付级别的人脸识别技术,识别准确率已高达 99% 以上,保证了这一措施可以有效准确的进行。
我们在 4 月末还向所有玩家公布了正在开发中的 5E PLUS 令牌。5E PLUS 令牌将借助二次人脸识别完成动态验证以保护优先匹配环境与用户帐号,对优先匹配玩家的账号提供了更为直接和深层次的保护,同时杜绝了代为认证的账号或者非法号商账号被交易的可行性。更多关于 5E PLUS 令牌细节会在不久之后会与广大玩家见面。
人民电竞:很多电竞游戏都会被作弊困扰,尤其是很多射击类的项目,那么5E的对于反作弊的核心工作是什么?
27:首先我们不得不承认一点,天下没有不透风的墙,再高强的反作弊技术,都可能有被攻破的时候,我们每年都投入了巨额的资金在反作弊研发上。但是由于现在5E对战平台的玩家人数体量增加,在4年前我们面对的挑战只是3-5个作弊软件开发团队,而现在可能面对的就是50-100个作弊软件团队的挑战。这无疑会是场旷日持久的战争,我对5E的反作弊团队的实力是非常有信心的。
但对于玩家来说,一旦游戏对局中遇到这些作弊玩家,从作弊者开启软件那一刻起对其他玩家的伤害就已经造成了,即使我们在比赛中对这位玩家进行了封禁处理,作弊者也可能借助他人的身份信息再来开挂。所以我们引入了阿里云的人脸识别技术,提高了进入门槛上,这样就可以防止作弊者可能对玩家造成的二次伤害,尽量降低玩家遇到作弊者的概率,从而提升玩家的游戏体验。
人民电竞:近期有些声音认为你们的订阅服务有着影响游戏平衡的内容,请问确有此事吗?
27:确实在我们的全新订阅服务5E PLUS宣传页面有两个功能,分别是站位热力图以及实时对战助手中的投掷物教学引起了广泛讨论。不少玩家将站位热力图当作了感知对手站位的“雷达”,但事实上我们只是记录一场比赛过程中该玩家的站位,并在一场比赛结束后展示他的站位热力图以帮助玩家了解自己的站位习惯。而投掷物更不是在游戏地图中标记投掷物的投掷描点,而是在游戏内呼出投掷物的图文攻略方便玩家边玩边学,5E对战平台官方不会允许破坏游戏平衡的功能出现!
投掷物教学功能演示(目前仍在策划阶段)
人民电竞:我听说5E的核心团队都是CS的老玩家,那么在这些年来,对于CS这款游戏的感情是否就是你们如今还在坚守的原因?
27:我们核心团队都是从CS1.3开始的老玩家,跟许多国内成熟的游戏大厂人人都是精英相比,核心团队成员不是科班出身也没有光鲜的履历,只是大家从一开始就一直在一起配合,并且最重要的是我们都很了解与热爱CS。我们也是CS玩家,因此也更了解玩家想要的是什么、关心的是什么,并且以我们对CS:GO的热情与认真的态度吸引更多有识之士加入我们,并因此获得了强大的技术支撑。
无论是从5E平台创建伊始便提供成本更高但游戏体验更好的128tick服务器,或是在19年底顶着巨大的成本压力而进行的服务器全面升级,亦或是在2020年初创立了优先匹配这一环境更好的游戏模式,我们每次都能给出玩家最满意的服务。因此,对CS:GO玩家来说,无论是他新手、高手、主播或是职业选手,他们能选择我们也是理所当然的。
5E门口的装饰墙
人民电竞:你本人和CSGO之间有什么样的故事?
27:我相信我和各位电竞行业从业者一样,都是因为热爱才加入这个行业。而当我开始5E的生涯的时候,FPS游戏的热度正值最低谷,但有一帮志同道合的同事一直与我一起奋斗,始终坚守着,虽然中间波折不断,甚至团队几近解散。但即使在当时,我们依旧靠着一腔热血在中国举办了ESWC2014中国区预选赛,最终由qiezi DD等人领衔的POW险胜豪门TYLOO成为当时首支代表中国出征CS:GO世界赛场的战队。
在熬过了那一段艰苦的低谷期后,2015年底团队骨干找到了新的投资人,并组建了新的团队创立了5E对战平台,我们也迎来了CS:GO的春天,越来越多玩家开始玩CS:GO,5E平台所举办的赛事越来越多,也受到了更多玩家的关注度。而现在,让更多CS:GO玩家能在我们这里感受到CS:GO这款游戏的魅力,并享受到更好的游戏服务是我和5E所有工作人员继续努力的动力。
从www.5eplay起步到5E对战平台,我们一直在与玩家分享CS:GO带来的欢乐, 我们也通过自己和各位玩家一起让越来越多人知道CS:GO,了解CS:GO,喜欢CS:GO,同时也渐渐喜欢上5E去玩。而在这一过程中我们不仅仅是在做媒体站或游戏平台,我们更像一个CS:GO的“传道士”,看到越来越多的玩家爱上了CS:GO这款游戏就是我们最自豪的事情了。
2014年ESWC比赛现场27STEEL(左)与Alex合影
人民电竞:目前据我了解到 5E 的积分和排名已经成为衡量职业选手的一个标杆,那么 5E 对此有什么责任感在身上?
27:当然是很高兴,从 www.5eplay 创办到现在已经十年。在这十年里,感谢各大赛事组织方以及俱乐部的抬爱,我们协助举办了不少国内外有影响的赛事。现在国内 95%以上的赛事都是在5E进行的,职业选手也都在5E对战平台日常进行游戏与训练,这也让5E成了最有公信力的平台,而5E的天梯分也已经是各大战队衡量选手实力的标准。
在这之外,我们也会继续用心经营5E平台旗下高端电竞子品牌——“5EPL”与“5EPL-C”,我们希望能为职业玩家提供一个比赛之外的高质量训练场;同时,也为那些还没被发掘的新人玩家提供一个可以施展才华的选秀场,也可以给战队一个发掘新人的地方。
当然大家的支持其实也是压力,这份压力会鞭策我们自己在赛事流程上更加专业、在平台服务上更加稳定、在反作弊上更加高效。同时,我们也在为5E优先匹配独立设计一套天梯排名系统,因为优先匹配质量较高,再加上阿里云人脸识别系统的支持,更能真实地反映玩家的实力,这个大家可以期待下。
人民电竞:5E 对战平台接下来在海外市场还会有什么动作吗?
27:从CS1.6时始,就经常有国外赛事组织或者俱乐部联系5EPlay一起举办活动或者赛事,而不少合作方的友谊一直延续到了CS:GO,凭借着5E这块国外赛事组织都认可的招牌,我们协助举办了不少国内外重大赛事。
至于海外市场,我们在2019年就曾短暂推出过5E对战平台亚洲版,并进行了限时限量的测试,在收集了不少玩家的意见后,我们决定重新优化海外版本后再推出。而在赛事方面,我们一直与包括ESL、Dreamhack等国内外知名赛事方保持着良好的沟通与联系,包括与Astralis这样的人气战队也一直保持着良好的沟通;2019年我们就举办过国际赛事Nest Pro,未来会继续努力将举办更多国际化高水平赛事,让更多中国CS:GO战队能有更多交流提升的机会。我们也期待邀请更多国内外赛事组织与战队来到中国,让更多中国CS:GO粉丝能够亲眼见到自己的偶像,欣赏最高水准的比赛。
IEM北京Astralis队员手持的折扇由5E对战平台赠送
人民电竞:那么对于5E对战平台未来还有什么规划呢?
27:在2020年我们会继续把5E对战平台推向全亚洲,让亚洲其他国家与地区的玩家也能享受来自5E对战平台的优质体验与特色功能服务;在赛事方面,2019年我们的自主品牌赛事NEST Pro的顺利举办,我们也积累了不少国际赛事的举办经验,今后也会继续联合国内众多赛事组织将更多顶级赛事带给大家。此外,鉴于部分新手玩家反馈对于新手不太友好,我们将加入更多娱乐模式以优化新手玩家的体验,让各位5E玩家在高强度竞技与休闲娱乐之间能择优选择。
而着眼近期我们将继续优化服务内容,为5E PLUS这项全新的订阅服务添加更新更多的优质内容,同时我们也将为5E对战平台进行更多技术更新升级。当然,给玩家提供更好更绿色的游戏环境一直是我们的根本任务,是5E对战平台长久努力的目标,也请各位玩家继续支持我们。
声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送至邮件举报,一经查实,本站将立刻删除。转载务必注明出处:http://www.hixs.net/article/20231024/169624828951782.html