“假充值”攻击侵袭EOSBM放狠话:实施的账户该进黑名单!

fansbox18 菩提币 2022-02-22 18:06:07 eos充值监控

  昨日晚间,BM携慢雾EOS“假充值”分析文章再度现身电报群,并表示,这些实施“假充值”的账户应该被加入黑名单,如果他能主宰某条链的话,他将会把所有企图损害他人利益的账户加入黑名单。

  对此,电报群内有人质疑黑名单制度治标不治本,BM则回答:创建每个账户都需要成本;同时补充道:EOS有BFT安全黑名单监听,名字叫s changing Key。针对交易所BM提出如下安全措施供探讨:1.任何第一次充值的,账户需要冻结3天;2.默认每个EOS账户都会永久对应一个交易所账户;3.任何一个在过去一周修改过所有者密钥的账户,应该重点关注;4.用更加普遍的打分系统来划定可能存在攻击的等级。5.采取数据驱动的方式,调取其链上操作信息,研究其行为模式。

  关于可能存在EOS“假充值”的风险的内容,最早出现于慢雾发文对hard_fail状态攻击的解析中。根据情报捕获与分析,慢雾意识到针对EOS hard_faild状态的新型攻击手法可能会造成更大范围的影响,手法成因是项目方未对交易状态进行严格且完备的检验导致攻击发生,属于“假充值”攻击类型的一种。此类“假充值”攻击可绕过节点read-only模式进行。因为交易的状态为:未执行-已经执行但执行失败,并不是回滚,所以即使开启了read-only模式,依然会受到攻击。

  随后在3月12日,慢雾发布分析预警称,如果数字货币交易所、钱包等平台在进行“EOS充值交易确认是否成功”的判断存在缺陷,可能导致严重的“假充值”。攻击者可以在未损失任何EOS的前提下成功向这些平台充值EOS,而且这些EOS可以进行正常交易。目前,慢雾安全团队已经确认真实攻击发生,但需要注意的是:EOS“假充值”攻击和之前披露过的USDT假充值、以太坊代币“假充值”类似,更多责任应该属于平台方。由于这是一种新型攻击手法,且攻击已经在发生,相关平台方如果对自己的充值校验没有十足把握,应尽快暂停EOS充提,并对账自查。

  针对EOS“假充值”预警慢雾随后补充称,其联合EOSPark的大数据分析系统持续跟踪和分析发现:从昨日开始,存在十几个帐号利用这类攻击技巧对数字货币交易所、钱包等平台进行持续性攻击,并有被真实攻击情况。同时,希望各大交易所、钱包、DApp 做好相关防御措施,并建议交易所和钱包要对发送给自己的转账交易在不可逆的区块前提下检测以下内容:1.判断status是否为executed;2.判断action是否为transfer;3.判断合约账号是否为eosio.token或其它token的官方合约;4.判断代币名称及精度;5.判断金额;6.判断to是否是自己平台的充币账号。

  无独有偶,降维安全实验室也发布监测消息称,近日观察到某知名区块链数字货币钱包应用的转账通知机制存在缺陷,会将EOS“假充值”攻击生成的虚假转账交易以通知方式推送给钱包用户,如果此缺陷被攻击者利用来进行垃圾广告推广、诈骗等活动,那么会给钱包用户造成很大困扰和风险。

  截止目前,对于EOS可能存在的“假充值”风险,OKEx、火币和Bibox交易平台均作出回应称:“不受影响”。OKEx在推特上表示,已对EOS“假充值”进行了了解,确认OKEx并不会受到攻击,请放心你们的资产是安全的;而火币风控相关负责人则表示,火币对于所有上账信息细节均会做严格确认,并不受此漏洞影响;Bibox交易平台联合创始人马骥称,Bibox现已对平台进行了严格的对账自查,确认不受此“漏洞”影响,用户可正常进行EOS充提、交易等操作。

  事实上,EOS并不是首个发现存在“假充值”漏洞攻击可能的数字货币。早在2018年6月,USDT被发现“假充值”漏洞,并引发了多家交易所暂时性关闭USDT充值。直至7月份,慢雾表示“关于 USDT ‘虚假充值’的事件,许多交易所也都发了公告声明说不存在该问题了,存在该问题的交易所也都获取了情报在第一时间修复了,目前应该已经不存在此问题。

  此后的去年的7月,安全机构发现以太坊代币存在“假充值”漏洞攻击;同月底,瑞波币(XRP)被发现存在“假充值”漏洞,甚至导致MBAex交易所推迟XRP交易区的启动;去年9月份,门罗币被发现修复新型“假充值”攻击漏洞……至此次,EOS发现存在“假充值”漏洞,纵观每一次“假充值”漏洞的预警,都伴随着相关交易所、钱包、dApp等的一轮轮排查与修复。

  因此,在一定程度上,漏洞的发现客观上促进了数字资产以及上下游产业链安全性的提升。

分享: