当前位置: 亚投网>资讯>新闻

EOS高危账号预警震荡下跌,存在“彩虹”攻击被盗风险

2018-07-11 编辑:小德 来源: 币晓区块链

近日区块链安全公司PeckShield在分析EOS账户安全性时发现,部分EOS用户正在使用的秘钥存在严重的安全隐患。

问题的根源在于部分秘钥生成工具允许用户采用强度较弱的助记词组合,而通过这种方式生成的秘钥很容易存在“彩虹”攻击,进而导致账户数字资产被盗。

针对此安全威胁,为了帮助用户减少可能的经济损失,PeckShield安全人员定制了一套危机解决方案:

1、披露因助记词使用问题导致的资产被盗漏洞细节,并呼吁EOS社区用户加强安全防范,避免使用空助记词或较弱的助记词组合;

2、启用EOSRescuer公共查询服务,用户可一键查阅自己的账号是否存在安全风险;

3、将已经监测到的存在高安全风险的用户资产暂时转移到特定的安全账户,受影响用户可联系PeckShield进行认领。为确保用户利益不受侵害,PeckShield会将上述安全账户的所有记录透明公开,并接受第三方媒体的监督。

注:用户认领时需提供EOS账户所有权的证明,包括必要的交易记录等。

受此影响,截至发稿前,EOS已震荡下跌,跌幅1.17%。

“假充值”漏洞分析

7月9日,慢雾团队披露以太坊“假充值”漏洞,七个铜板第一时间联系上隐生宙团队的黑鱼对此事进行证实。

黑鱼表示,确实有一些合约存在问题,在代币转账失败后,并不抛出异常,使得以太交易失败,这时如果交易所只判断以太交易的状态,是会产生“假充值”的情况的。

黑鱼另外指出,就算代币合约不存在此漏洞,由于交易所对代币转账校验的不严谨,也有可能产生“假充值”问题。据黑鱼介绍,曾经知道的一些交易所在判断代币充值时,采用如下方式:

1、 判断交易to是否该代币合约

2、 根据交易data截取代币发送方、接受方和数量。

但是并没判断data前8个字节,是否代表了transfer函数。在这种情况下,如果代币中存在可执行的fallback函数,作恶者也可以通过调用fallback函数,构造相应的交易data,绕过transfer函数,达到“假充值”的目的。

手机访问

二维码