慢霧安全團隊關于 ETC 51% 算力攻擊的分析_TRU:CCC

本文來自：慢霧科技，作者慢霧安全團隊，Odaily星球日報經授權轉載。北京時間2019年1月6日，我們據慢霧區伙伴情報及BTI(區塊鏈威脅情報)系統的異常情報分析在慢霧區預警了ETC網絡的51%算力攻擊的可能性。次日，得到了ETC官方、Coinbase官方的回應和分析。ETC官方推特發布："ChineseblockchainsecurityfirmSlowMistsentoutanalertthattheEthereumClassic(ETC)networkmighthavebeentargetedbya51%attack."Exclusive:One$ETCPrivatePoolClaimedover51%NetworkHashrate-Reportedvia@SlowMist_TeamCoinbase官方博客發布：Jan.7,10:27pmPT：Coinbase官方已經確定了總共15次攻擊，其中12次包含雙花，共計219,500ETC2019年01月08日收到消息，Gate.io官方確認ETC網絡51%算力攻擊，共檢測到7筆交易回滾。其中有四筆總計54200ETC來自攻擊者，這四筆交易的txHash為：0xb5e074866653670f93e9fd2d5f414672df9f5c21baa12b83686e1364447963380xee31dffb660484b60f66e74a51e020bc9d75311d246f4636c0eabb9fdf1615770xb9a30cee4ff91e7c6234a0aa288091939482a623b6982a37836910bb18aca6550x9ae83e6fc48f63162b54c8023c7a9a55d01b7085294fb4a6703783e76b1b492a攻擊者擁有和操縱的ETC錢包地址有：0xb71d9CD39b68a08660dCd27B3EAE1c13C1267B100x3ccc8f7415e09bead930dc2b23617bd39ced2c060x090a4a238db45d9348cb89a356ca5aba89c75256我們從2019年01月06日開始基于BTI系統、相關已披露情報及相關區塊瀏覽器進行了持續的關注與跟蹤：跟蹤發現，與惡意錢包地址0x3ccc8f7415e09bead930dc2b23617bd39ced2c06第一次有交叉的地址是：0x24FdD25367E4A7Ae25EEf779652D5F1b336E31da

慢霧安全：警惕Big Data Protocol合約相關風險:據慢霧區消息，知名DeFi項目Big Data Protocol因項目自身代碼Bug出現無法正常領取獎勵的問題。經慢霧安全團隊分析，此問題系Big Data Protocol的BDP代幣合約在mint函數中對seePoolAmount變量做了錯誤的校驗，導致合約功能無法正常執行。目前合約用戶只能通過緊急提現函數對資金進行提現。但緊急提現函數無法同時提現挖礦收益。

慢霧安全團隊提醒用戶注意Big Data Protocol合約風險，如有參與，可通過emergency Withdraw函數將資金安全取出。[2021/3/12 18:40:04]

在此地址基礎上我們繼續追蹤，追蹤到第一個時間點地址：0x24fdd25367e4a7ae25eef779652d5f1b336e31da時間：2019-01-0519:58:15UTC

動態 | 慢霧安全團隊發現新型公鏈攻擊手法“異形攻擊”:慢霧安全團隊發現針對公鏈的一種新型攻擊手法“異形攻擊”（又稱地址池污染），是指誘使同類鏈的節點互相侵入和污染的一種攻擊手法，漏洞的主要原因是同類鏈系統在通信協議上沒有對非同類節點做識別。這種攻擊在一些參考以太坊通信協議實現的公鏈上得到了復現，以太坊同類鏈，由于使用了兼容的握手協議，無法區分節點是否屬于同個鏈，導致地址池互相污染，節點通信性能下降，最終造成節點阻塞、主網異常等現象。相關公鏈需要注意持續保持主網健康狀態監測，以免出現影響主網穩定的攻擊事件出現。[2019/4/18]

0x3f5CE5FBFe3E9af3971dD833D26bA9b5C936f0bE是幣安錢包地址：

也就是說：攻擊者從幣安錢包提了大量的ETC到：0x24fdd25367e4a7ae25eef779652d5f1b336e31da然后，將幣轉入賬戶：0x3ccc8f7415e09bead930dc2b23617bd39ced2c06

聲音 | 慢霧安全團隊：建議檢查充值所在的區塊來避免回滾交易攻擊:據 IMEOS 報道，針對凌晨出現的 BetDice 等大量頭部 DApp 遭受回滾交易攻擊的情況，慢霧安全團隊建議 EOS 交易所及中心化錢包在通過 RPC 接口 get_actions 處理熱錢包充值記錄時，應檢查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆區塊)，如果 block_num 大于 last_irreversible_block 則表示該區塊仍然是可逆的，存在“假充值”風險。[2018/12/19]

我們根據AnChain.ai提供給我們的獨家情報：Bitrue錢包地址是：0x2c9a81a120d11a4c2db041d4ec377a4c6c401e69由此我們追蹤到攻擊：

現場 | 慢霧安全負責人：好的公鏈需要滿足安全穩定運行最基本的要求:金色財經11月9日現場報道，今日，由imondo和鏈人聯合主辦的“DAPP開發者大會”在北京舉行。慢霧安全負責人海賊王做了以“DApp安全現狀深度分析”為主題的演講。他表示，現在的公鏈如以太坊、EOS，都有自己的優勢，應保持開放的心態去看待公鏈。好的公鏈應該滿足一些基本要求，即公鏈需穩定運行，官方錢包要安全可靠，區塊鏈瀏覽器要安全可用。[2018/11/9]

查詢區塊高度：7254355

區塊：7254430

我們從區塊上發現下圖這筆原有的交易不存在了：

此時完成了對Bitrue的第一次4000ETC的攻擊。剩下對Bitrue9000ETC的攻擊也相同。Bitrue官方也在推特上確認：

動態 | 慢霧安全團隊發布門羅幣攻擊嚴重漏洞預警:慢霧安全團隊注意到，門羅幣修復新型假充值攻擊漏洞，問題出現在錢包處理隱身地址(stealth address)收款的校驗機制上。隱身地址是門羅幣匿名的關鍵機制之一，如果使用了這個機制來接收用戶的匿名轉賬，攻擊者可以向隱身地址發起惡意構造的重復轉賬，交易所錢包沒對這些重復轉賬進行正確性校驗的話，就可能會導致“假充值”攻擊發生，從而造成嚴重損失。[2018/9/27]

我們繼續向前追蹤：時間點：2019-01-0603:26:56UTC

查詢區塊：

時間點：2019-01-0603:27:11UTC

查詢區塊：

完成第一次對0xD850560ccc2a5E50b5e678031ED2598713eb3E47600ETC的攻擊。這與Coinbase博客發布的信息相同：

基于持續跟蹤，我們發現，鑒于各個交易所對區塊確認數的提高、對惡意錢包地址的封禁等措施下，攻擊者對ETC的51%惡意攻擊在UTC2019-01-0804:30:17(北京時間2019-01-0812:30:17)之后已經停止。我們認為攻擊者的每次大型攻擊都是有足夠的成本及風險考慮，其中涉及到攻擊前及攻擊過程需要花費的金錢及時間成本，攻擊后洗錢的對抗追蹤溯源成本。通過我們的情報分析，攻擊者的身份，如果各家相關交易所愿意協助，是可以最終定位出來的。同時，我們認為，鑒于近期區塊鏈資金熱度下降導致全網挖礦算力下降，大家已經切實感受到針對ETC51%攻擊的影響，可預見未來伴隨攻擊成本降低此類攻擊將快速增多，我們在此特別建議對以下當前有獲利空間的幣種增加風控機制。參考地址：https://www.crypto51.app

*備注：Gate.io錢包地址：0x0d0707963952f2fba59dd06f2b425ace40b492feGate.io給出疑似攻擊者所擁有和操縱的ETC錢包地址：0xb71d9CD39b68a08660dCd27B3EAE1c13C1267B100x3ccc8f7415e09bead930dc2b23617bd39ced2c060x090a4a238db45d9348cb89a356ca5aba89c75256Bitrue錢包地址：0x2c9a81a120d11a4c2db041d4ec377a4c6c401e69涉及礦工或者大戶：http://gastracker.io/addr/0x090a4a238db45d9348cb89a356ca5aba89c75256http://gastracker.io/addr/0x07ebd5b21636f089311b1ae720e3c7df026dfd72我們已經第一時間將這些惡意錢包地址及惡意關聯地址加入BTI系統的惡意錢包地址庫并提供給合作伙伴，防止攻擊者進一步攻擊其他交易所。最后我們建議所有數字資產相關服務平臺阻止來自以上惡意錢包地址的轉賬，并加強風控、保持高度關注，警惕隨時可能再次爆發的雙花攻擊。

Tags：ETCBLOTRUCCCETC幣是什么幣VeriBlocktrustwallet錢包騙局CCC價格

DAI