ETC:慢雾安全团队关于 ETC 51% 算力攻击的分析

本文来自：慢雾科技，作者慢雾安全团队，Odaily星球日报经授权转载。北京时间2019年1月6日，我们据慢雾区伙伴情报及BTI(区块链威胁情报)系统的异常情报分析在慢雾区预警了ETC网络的51%算力攻击的可能性。次日，得到了ETC官方、Coinbase官方的回应和分析。ETC官方推特发布："ChineseblockchainsecurityfirmSlowMistsentoutanalertthattheEthereumClassic(ETC)networkmighthavebeentargetedbya51%attack."Exclusive:One$ETCPrivatePoolClaimedover51%NetworkHashrate-Reportedvia@SlowMist_TeamCoinbase官方博客发布：Jan.7,10:27pmPT：Coinbase官方已经确定了总共15次攻击，其中12次包含双花，共计219,500ETC2019年01月08日收到消息，Gate.io官方确认ETC网络51%算力攻击，共检测到7笔交易回滚。其中有四笔总计54200ETC来自攻击者，这四笔交易的txHash为：0xb5e074866653670f93e9fd2d5f414672df9f5c21baa12b83686e1364447963380xee31dffb660484b60f66e74a51e020bc9d75311d246f4636c0eabb9fdf1615770xb9a30cee4ff91e7c6234a0aa288091939482a623b6982a37836910bb18aca6550x9ae83e6fc48f63162b54c8023c7a9a55d01b7085294fb4a6703783e76b1b492a攻击者拥有和操纵的ETC钱包地址有：0xb71d9CD39b68a08660dCd27B3EAE1c13C1267B100x3ccc8f7415e09bead930dc2b23617bd39ced2c060x090a4a238db45d9348cb89a356ca5aba89c75256我们从2019年01月06日开始基于BTI系统、相关已披露情报及相关区块浏览器进行了持续的关注与跟踪：跟踪发现，与恶意钱包地址0x3ccc8f7415e09bead930dc2b23617bd39ced2c06第一次有交叉的地址是：0x24FdD25367E4A7Ae25EEf779652D5F1b336E31da

慢雾安全预警：Nuxt.js出现远程代码执行漏洞攻击案例，请相关方及时升级:金色财经报道，据慢雾区消息，Nuxt.js远程代码执行漏洞(CVE-2023-3224) PoC在互联网上公开，目前已出现攻击案例。Nuxt.js是一个基于Vue.js的轻量级应用框架，可用来创建服务端渲染(SSR) 应用，也可充当静态站点引擎生成静态站点应用，具有优雅的代码结构分层和热加载等特性。Nuxt中存在代码注入漏洞，当服务端以开发模式启动时，远程未授权攻击者可利用此漏洞注入恶意代码并获取目标服务器权限。其中，Nuxt == 3.4.0，Nuxt == 3.4.1，Nuxt == 3.4.2 均受到影响。加密货币行业有大量平台采用此方案构建前后端服务，请注意风险，并将Nuxt升级到3.4.3或以上版本。[2023/6/15 21:39:39]

在此地址基础上我们继续追踪，追踪到第一个时间点地址：0x24fdd25367e4a7ae25eef779652d5f1b336e31da时间：2019-01-0519:58:15UTC

声音 | 慢雾安全团队：建议检查充值所在的区块来避免回滚交易攻击:据 IMEOS 报道，针对凌晨出现的 BetDice 等大量头部 DApp 遭受回滚交易攻击的情况，慢雾安全团队建议 EOS 交易所及中心化钱包在通过 RPC 接口 get_actions 处理热钱包充值记录时，应检查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块)，如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的，存在“假充值”风险。[2018/12/19]

0x3f5CE5FBFe3E9af3971dD833D26bA9b5C936f0bE是币安钱包地址：

动态 | 慢雾安全团队预警：EOS智能合约遭受溢出攻击:据慢雾安全团队消息，EOS Fomo3D 游戏合约遭受溢出攻击，资金池变成负数，由于合约未开源无法确认更多细节，请注意风险。慢雾安全团队呼吁 EOS 智能合约安全需引起重视。[2018/7/25]

也就是说：攻击者从币安钱包提了大量的ETC到：0x24fdd25367e4a7ae25eef779652d5f1b336e31da然后，将币转入账户：0x3ccc8f7415e09bead930dc2b23617bd39ced2c06

我们根据AnChain.ai提供给我们的独家情报：Bitrue钱包地址是：0x2c9a81a120d11a4c2db041d4ec377a4c6c401e69由此我们追踪到攻击：

声音 | 慢雾安全团队针对USDT充值漏洞做出回应:据火讯财经报道，慢雾安全团队针对USDT充值漏洞做出了回应，他们表示：“关于 USDT ‘虚假充值’的事件，目前许多交易所也都发了公告声明说不存在该问题了，存在该问题的交易所也都获取了情报在第一时间修复了，目前应该已经不存在此问题了。我们一般不披露那些还没出现攻击事件的情报。比如单纯漏洞这玩意，挤挤总会有的，多重磅都可以搞个出来，没什么好说，但只要是事件，就代表已经发生，披露我们尽最大努力走负责任路线。我们在给甲方做安全时，会全面带入我们的情报网络，这种价值，似乎还不好量化，但懂的人，会很感激我们。”[2018/7/3]

查询区块高度：7254355

区块：7254430

我们从区块上发现下图这笔原有的交易不存在了：

声音 | 慢雾安全团队：区块链技术本身存在安全缺陷 可参考以太坊漏洞赏金计划实现安全:据火讯财经报道，慢雾安全团队表示，区块链技术本身存在安全缺陷，研究区块链安全的可以参考以太坊漏洞赏金计划实现安全，包括：1. 客户端协议实现安全；2. 网络安全；3. 节点安全；4. 客户端应用安全；5. 算法使用安全；6. Solidity 语言安全；7. ENS 安全。[2018/7/2]

此时完成了对Bitrue的第一次4000ETC的攻击。剩下对Bitrue9000ETC的攻击也相同。Bitrue官方也在推特上确认：

我们继续向前追踪：时间点：2019-01-0603:26:56UTC

查询区块：

时间点：2019-01-0603:27:11UTC

查询区块：

完成第一次对0xD850560ccc2a5E50b5e678031ED2598713eb3E47600ETC的攻击。这与Coinbase博客发布的信息相同：

基于持续跟踪，我们发现，鉴于各个交易所对区块确认数的提高、对恶意钱包地址的封禁等措施下，攻击者对ETC的51%恶意攻击在UTC2019-01-0804:30:17(北京时间2019-01-0812:30:17)之后已经停止。我们认为攻击者的每次大型攻击都是有足够的成本及风险考虑，其中涉及到攻击前及攻击过程需要花费的金钱及时间成本，攻击后的对抗追踪溯源成本。通过我们的情报分析，攻击者的身份，如果各家相关交易所愿意协助，是可以最终定位出来的。同时，我们认为，鉴于近期区块链资金热度下降导致全网挖矿算力下降，大家已经切实感受到针对ETC51%攻击的影响，可预见未来伴随攻击成本降低此类攻击将快速增多，我们在此特别建议对以下当前有获利空间的币种增加风控机制。参考地址：https://www.crypto51.app

*备注：Gate.io钱包地址：0x0d0707963952f2fba59dd06f2b425ace40b492feGate.io给出疑似攻击者所拥有和操纵的ETC钱包地址：0xb71d9CD39b68a08660dCd27B3EAE1c13C1267B100x3ccc8f7415e09bead930dc2b23617bd39ced2c060x090a4a238db45d9348cb89a356ca5aba89c75256Bitrue钱包地址：0x2c9a81a120d11a4c2db041d4ec377a4c6c401e69涉及矿工或者大户：http://gastracker.io/addr/0x090a4a238db45d9348cb89a356ca5aba89c75256http://gastracker.io/addr/0x07ebd5b21636f089311b1ae720e3c7df026dfd72我们已经第一时间将这些恶意钱包地址及恶意关联地址加入BTI系统的恶意钱包地址库并提供给合作伙伴，防止攻击者进一步攻击其他交易所。最后我们建议所有数字资产相关服务平台阻止来自以上恶意钱包地址的转账，并加强风控、保持高度关注，警惕随时可能再次爆发的双花攻击。

标签：ETCNUX区块链LOCetc币价格行情GINUX区块链的未来发展前景作者是谁CLOCK价格

比特币最新价格热门资讯