主页 > imtoken钱包劫持 > 比特币赌博网站 Primedice 如何被黑客窃取 100 万美元
比特币赌博网站 Primedice 如何被黑客窃取 100 万美元
张爱玲说:尽快出名。但比特币的小伙子一直在提醒我们:大树招风,高度太冷了。
一个神秘的创始人,一群热心的支持者,比特币在受到高度赞扬的同时遭到了攻击和猎杀。
黑客利用比特币赌博网站Primedice在线赌场的RNG系统漏洞,导致赌场损失了价值100万美元的比特币——虽然这发生在去年,但Primedice最近主动公开分享希望同事们可以从这种“痛苦”的经历中吸取教训。
这是一个悲伤的故事,请自备纸巾...
2014 年 8 月
Primedice 第三版发布后不久,我们的团队遇到了威胁我们网站生存的竞争对手。虽然我个人的编程经验非常有限,但我们的团队拥有近两年的比特币赌博网站建设经验。在巨大的压力下,为了避免进一步的延迟,我们在封闭测试一周后发布了新版本。
“抢劫”始于 Nappa 和 Kane 两个不同寻常的帐户。我们在这两个账户上发现了一些不寻常的赌博模式。 Kane 自动兑现,我们重新审视了 Nappa 的赌注,发现他们非常可疑,但无法找出问题所在,并且在他们兑现稍有延迟后进行了简单的电子邮件交流。
2014 年 9 月
“开发者”在被我们耽误后似乎有点吃惊,所以他在几周后创建了一个名为“Hufflepuff”的新帐户。Hufflepuff 是 Primedice 有史以来出现的最大赌徒,经常下注更多持续数小时超过每秒 8,000 美元的比特币。我们整个团队都震惊地发现,赫奇帕奇一直击败经销商(通常只有 1% 的低几率),随着时间的推移赚的钱越来越多。
我们对他的红利收入来源高度怀疑,并一次又一次地限制他的账户进行调查,但每次我们的开发者都没有发现任何违规行为。我们没有证据证明他在作弊,因此不能有正当理由长时间拖延他的提款请求。
另一方面,怀着强烈的继续玩下去的动力,我们立即给了他奖金。
我们对每一种可能性进行了大量研究,运行模拟......但最终我们得出的结论是,他非常幸运。
惊人的发现
在 Hufflepuff 耗尽超过 2037 BTC 奖金的帐户后大约两天,我们的首席开发人员发现少数帐户在同一服务器上共享种子,结果发现了 Hufflepuff 的攻击利用程序 exp。
要了解 Hufflepuff 如何击败我们的系统,我们首先需要了解公平系统 (RNG) 的工作原理:
用户在下注前获得一串加密随机值(服务器种子),并且必须提交自己的随机值(客户端种子)。这两个随机值结合起来决定最终的赢家或输家。用于下注的随机加密随机值将在下注后交给用户,以确保他们的赌注没有被操纵。
你可以在这里找到详细的深入解释:
和
我们网站的部分功能是为解密服务器播种(以确保用户不会下注),放置一个新的随机种子,同时丢弃旧的。
Hufflepuff 找到了一种方法来“混淆”我们的服务器以发布同样活跃的解密服务器种子。这是通过发送大量无法在短时间内处理的请求来完成的,但每分钟发送数百个请求。赫奇帕奇会知道他是否会赢,所以他可以决定是否参加。
在疯狂地检查了我们的服务器之后,EUREKA! ! !我们发现了这个问题。我们怀疑可能存在一些问题,最终发现了上述定时攻击的可能性。我们数据库中的所有种子都没有处于活动状态,并且所有种子都同时连接到 Hufflepuff 帐户。因为这些“薛定谔”的种子,看似无用的种子都连接到同一个账号,代表着种子请求的洪流。
似曾相识
不幸的是,我们在 Hufflepuff 提取了 2400 多个比特币(当时约为 100 万美元)后发现了这个 exp。鉴于比特币(被称为“世界上最危险的货币”)的性质,我们别无选择,只能认输。我们通过他的比特币论坛帐户与赫奇帕奇进行了沟通,要求获得奖金,但这种回击适得其反。
事实证明,我们的开发人员不恰当地修补了这些错误。应我们的要求被黑客黑了要付比特币怎么办,赫奇帕奇创建了一个名为 Robbinhood 的新帐户,并迅速绕过补丁赢得了 2000 多个比特币。但是这次他不能提取超过 50 或 60 个比特币,因为我们没有更多的金币了。
不久之后他私信我们:
“你的提议被我拒绝了。你的要求显然很荒谬。我很高兴离开你,但如果你要继续,我会留下来。我不认为你会继续,是吗?我真的很享受这个 xx(不和谐)。你的行为。
哦被黑客黑了要付比特币怎么办,顺便说一句,您需要处理一些未发出的提款。”
赌场今天没有赢……
透明度证明和调查目的
赫奇帕奇的存款地址:
他的主要提现地址:
RobbinHood 账户提现:
注意:Nappa 和 Kane 是早期使用的许多旧名称中的两个。
凯恩的提现地址:
纳帕存款地址:
我们已经删除了所有稍微敏感的信息(邮件或ip),上面分享的所有内容都是公开的。
还需要注意的是,我们的诚信和可验证的公平系统在这种情况下得到了体现。如果我们试图操纵赫奇帕奇的任何赌注,我们很容易发现他在作弊,我们不会损失 2400 多个比特币或更多。然而,我们没有。在我们将最大赌注减半后,赫奇帕奇刚刚休息了一下,我相信他认为我们没有发现发生了什么。我们投资了自己的资金,因此没有用户受到负面影响。
最后很抱歉,这个故事拖了这么久......
