EOSis a popular cryptocurrency, whose market cap is over seven billion USD. Its ecosystem operates in the EOS.IO system, which is devised to speed up the slow transaction rate of previous blockchain technologies. Whereas many previous studies have investigated the security issues of Bitcoin and Ethereum, the security of EOS.IO has thus far drawn little attention despite its popularity. Even the studies that have addressed the security of EOS and its underlying blockchain system mostly focused on implementational bugs in the core of the EOS.IO system or in smart contracts, rather than addressing the fundamental problems stemming from the EOS.IO design.
To address this void in the previous literature, we investigate the design architecture of EOS.IO. Based on this investigation, we introduce four attacks whose root causes stem from the unique characteristics of EOS.IO, including intentionally slowing down the block creation time—which can disrupt the essential unctions of its blockchain and incapacitate the entire EOS.IO system. In addition, we find that an adversary can partially freeze the execution of a target smart contract or maliciously consume all the resources of a target user with crafted requests. We report all the identified threats to the EOS.IO foundation, one of which is confirmed to be fatal. Finally, we discuss possible mitigations against the proposed attacks.
이오스는 시가총액이 70억 달러가 넘는 인기있는 암호 화폐이다. 이오스는 이전 다른 블럭체인의 느린 거래속도를 보완하고자 고안 되었으며 이오스 생태계는 이오스.아이오 시스템에서 작동한다. 하지만 이오스의 많은 인기에도 불과하고 이전의 연구들은 비트코인 및 이더리움의 보안 연구에 초점이 맞추어져 있으며, 현업에서의 이오스 보안의 경우에도 스마트 컨트랙트의 구현상의 오류에만 주로 초점이 맞추어져 있다. 이 논문에서는 이전의 이러한 연구의 공백을 해결하기 위해 이오스닷 아이오의 설계적 취약점을 조사하고, 이 조사를 바탕으로 이오스닷 아이오의 고유한 특성을 이용한 4가지 공격을 소개한다. 본 논문에서 소개할 공격은 블럭체인의 필수 기능을 못 사용 하게끔 만들 뿐만 아니라 블럭 생성시간을 의도적으로 느리게 하여 전체 이오스닷 아이오 시스템이 작동하지 않을 수 있다. 또한 공격자는 대상 스마트 컨트랙트의 실행을 부분적으로 중지 시키거나 대상 사용자의 모든 리소스를 악의적인 요청으로 모두 소모 시킬수 있다. 확인된 모든 위협은 이오스닷 아이오의 설립자에게 보고 되었으며 그중 하나는 치명적인 버그로 명명되어 즉각 패치 되었다. 이 논문에서는 위 4가지 공격을 소개하고 공격에 대한 완화 방법에 대해 논의한다.