primedice自曝家丑:我们如何黑客坑走1000000美元

By | 2015年7月2日
0 Comment

黑客利用RNG漏洞比特币在线赌场和赌博网站primedice导致100000000美元的比特币赌场损失值——这虽然是去年发生的。最近,然而,primedice主动站出来,这种痛苦的经验共享,希望同行们引以为戒。

这是一个悲伤的故事,请带上你自己的组织吧

Primedice自曝家丑:我们是如何被黑客坑走100万美元的

月2014

该primedice第三版发布后不久,我们的团队遇到威胁我们网站的竞争对手。虽然我有一个非常有限的编程经验,但我们的团队有近两年的比特币网站的经验。在巨大的压力下也为了避免进一步的延误,我们刚一周后发布了一个新版本的测试版。

“抢劫”是两个不同寻常的账户开始,纳帕和凯恩。我们在这2个账户里发现了一些不寻常的赌博模式。自动凯恩的现金,我们观察到纳帕打赌,发现他们非常多疑却找不到问题所在,所以在稍微延迟现金后简单的电子邮件交流。

九月2014

在被我们推迟之后,“开发人员”似乎是一个冲击,所以他创造了一个新的帐户,称为“赫奇帕奇”在几个星期。赫奇帕奇在primedice最大的赌徒,他经常赌价值8000美元超过一秒,并持续了几个小时。我们的整个团队都非常震惊,赫奇帕奇继续击败经销商(正常概率是非常低的1%),随着时间的推移,他得到了越来越多的收入。

我们强烈怀疑自己的奖金收入的身世,并再次限制自己的账户进行调查。然而,每次我们开发商没有发现任何违规行为。我们没有证据证明他是在欺骗,因此不能拖延他的要求很长一段时间。

另一方面,我们将为他支付奖金,以激励他继续玩下去的强烈动机。

我们已经进行了大量的研究,对每一个可能性,运行模拟程序但最终,我们得出的结论是,他是非常幸运的。

惊人的发现

在赫奇帕奇学院提供的帐户在2037年Bitcoin的奖金两天后,大开发商我们发现共享种子在同一台服务器上的一小部分帐户,从而找到赫奇帕奇攻击使用程序口

学习赫奇帕奇要打我们的系统,我们需要先了解RNG的作品:

用户在对一个加密的随机值(服务器种子)进行加密之前,必须提交自己的随机值(客户端种子)。随机值组合,用于确定最终的胜利。然后是用来把加密的随机值随机的值,将赌注押在交付给用户,以确保他们的赌博是不受操纵。
你可以在这里找到一个详细的解释:

https://primedice.com/verify和http://dicesites.com/provably-fair

我们的网站是功能的一部分,是分布式解密服务器的种子(有用户,以确保没有赌博),一个新的随机种子位置,同时抛弃旧种子。

赫奇帕奇找到了一种“迷惑”的方式,我们在服务器上,使其成为一个同样活跃的解密服务器的种子。这种方式是发送大量的请求不能在短时间内处理,并每分钟的请求。赫奇帕奇会知道他是否会赢,所以决定是否参加。

经过紧张地检查我们的服务器,尤里卡!!!我们发现问题。我们怀疑可能会出现一些问题,最后找到了上述描述的可能性。在我们的数据库中的种子是不活跃的,并连接到赫奇帕奇帐户。因为这些“薛定谔”种子,看来,同一个帐户相同的种子,这意味着有需要获得大量的种子要求。

似曾相识的感觉

不幸的是,我们发现2400 +在EXP比特币的赫奇帕奇(当时,约1000000美元)。鉴于比特币的特性(称为“世界最危险货币”),我们别无选择。我们与比特币论坛通过论坛账号沟通,这就要求返还的奖金,但是这种回报是适得其反的。

事实表明,我们的开发人员是不恰当的补丁失败。在答复我们的请求,赫奇帕奇创造了一个新的帐户名robbinhood然后迅速在补丁赢得2000 +比特币。但这一次,他不能携带超过50或60,因为我们没有更多的金币。

Primedice自曝家丑:我们是如何被黑客坑走100万美元的
他给我们发了一个消息后不久:

“你所做的交易被我拒绝了。你的要求显然是可笑的。我很高兴离开你,但如果你愿意,我将战斗到底。我想你不想继续下去,对吗。我真的很喜欢这个(不和谐)。你的举动。
。哦,到了,还有一些不是你需要处理的钱。”

这一天,赌场没有赢了

透明度和调查目的

赫奇帕奇存款地址:

http://blockmeta.com/address/1bipxmdrhm7vxznwy6nnw1zbpc4dcpfkh5

他的主要地址:

http://blockmeta.com/address/14is2uvclk33xkc1k1ql1dhebp49ainfnp

robbinhood账户取款:

http://blockmeta.com/address/14hq67zhmatvihi9rdyhburiagsfmjpyob

注:纳帕和凯恩是两许多以前在早期。

凯恩的地址:

http://blockmeta.com/address/18dmbap634aespted3fgcagj2s9n4qtbtz

纳帕存放地址:

http://blockmeta.com/address/16h9ggszuwdvagejdnvwvyiukytw6sjgib

我们已经删除了任何稍微敏感的信息(电子邮件,是知识产权),上面的内容是公开共享。

还需要注意的是,在这个事件中,我们的诚信和公平的制度可以被检查。如果我们试图操纵任何赫奇帕奇参与赌博,你可以很容易地找到他的欺骗,我们不会失去+甚至更多的比特币。然而,我们不是。我们平分了最大的赌注,赫奇帕奇只是休息了一会儿,我相信他认为我们没有找到发生了什么事。我们已经投资了我们自己的钱,所以我们对这件事没有负面的影响。

很抱歉,这个故事太长了

参考来源:中,作者stunna(primedice)

本文是独立于作者的观点,不代表巴比特的位置。

发表评论