本文来自:慢雾科技,作者慢雾安全团队,Odaily星球日报经授权转载。北京时间2019年1月6日,我们据慢雾区伙伴情报及BTI(区块链威胁情报)系统的异常情报分析在慢雾区预警了ETC网络的51%算力攻击的可能性。次日,得到了ETC官方、Coinbase官方的回应和分析。ETC官方推特发布:"ChineseblockchainsecurityfirmSlowMistsentoutanalertthattheEthereumClassic(ETC)networkmighthavebeentargetedbya51%attack."Exclusive:One$ETCPrivatePoolClaimedover51%NetworkHashrate-Reportedvia@SlowMist_TeamCoinbase官方博客发布:Jan.7,10:27pmPT:Coinbase官方已经确定了总共15次攻击,其中12次包含双花,共计219,500ETC2019年01月08日收到消息,Gate.io官方确认ETC网络51%算力攻击,共检测到7笔交易回滚。其中有四笔总计54200ETC来自攻击者,这四笔交易的txHash为:0xb5e074866653670f93e9fd2d5f414672df9f5c21baa12b83686e1364447963380xee31dffb660484b60f66e74a51e020bc9d75311d246f4636c0eabb9fdf1615770xb9a30cee4ff91e7c6234a0aa288091939482a623b6982a37836910bb18aca6550x9ae83e6fc48f63162b54c8023c7a9a55d01b7085294fb4a6703783e76b1b492a攻击者拥有和操纵的ETC钱包地址有:0xb71d9CD39b68a08660dCd27B3EAE1c13C1267B100x3ccc8f7415e09bead930dc2b23617bd39ced2c060x090a4a238db45d9348cb89a356ca5aba89c75256我们从2019年01月06日开始基于BTI系统、相关已披露情报及相关区块浏览器进行了持续的关注与跟踪:跟踪发现,与恶意钱包地址0x3ccc8f7415e09bead930dc2b23617bd39ced2c06第一次有交叉的地址是:0x24FdD25367E4A7Ae25EEf779652D5F1b336E31da
慢雾安全:黑客通过绕过未被验证的账号,非法增发20亿个CASH:据慢雾区情报消息,Solana上的稳定币项目Cashio遭遇黑客攻击。据慢雾安全团队初步分析,黑客通过绕过一个未被验证的账号,非法增发了20亿个CASH代币,并通过多个应用将CASH代币转化为 8,646,022.04 UST 17,041,006.5 USDC 和26,340,965.68 USDT-USDC LP,获利总价值:52027994.22 USD(5000多万美金)。目前官方@CashioApp已发出公告让用户暂停使用合约,并发布临时补丁修复了漏洞。[2022/3/23 14:14:07]
在此地址基础上我们继续追踪,追踪到第一个时间点地址:0x24fdd25367e4a7ae25eef779652d5f1b336e31da时间:2019-01-0519:58:15UTC
慢雾安全工程师:安全审计是目前保护DeFi项目安全最高性价比的方式:12月30日,在慢雾科技主办的Hacking Time区块链安全攻防峰会上,慢雾科技高级安全工程师yudan和Kong根据bZx最早期的两次闪电贷攻击案例,介绍了闪电贷基本的攻击形式——代币价格操纵,详细讲述了基于价格操纵的闪电贷的防御方案以及在其价格无法被操纵的情况下,如何利用闪电贷另辟蹊径,通过操纵 LP Token的单价来进行获利。并通过慢雾被黑档案库与大家一起回顾了2020 DeFi被黑事件。
yudan和Kong认为,DeFi安全形势严峻,安全审计是目前保护项目安全最高性价比的方式。在当下DeFi黑暗森林里我们在临渊而行,需如履薄冰。[2020/12/30 16:04:29]
0x3f5CE5FBFe3E9af3971dD833D26bA9b5C936f0bE是币安钱包地址:
动态 | 慢雾安全团队发现新型公链攻击手法“异形攻击”:慢雾安全团队发现针对公链的一种新型攻击手法“异形攻击”(又称地址池污染),是指诱使同类链的节点互相侵入和污染的一种攻击手法,漏洞的主要原因是同类链系统在通信协议上没有对非同类节点做识别。这种攻击在一些参考以太坊通信协议实现的公链上得到了复现,以太坊同类链,由于使用了兼容的握手协议,无法区分节点是否属于同个链,导致地址池互相污染,节点通信性能下降,最终造成节点阻塞、主网异常等现象。相关公链需要注意持续保持主网健康状态监测,以免出现影响主网稳定的攻击事件出现。[2019/4/18]
也就是说:攻击者从币安钱包提了大量的ETC到:0x24fdd25367e4a7ae25eef779652d5f1b336e31da然后,将币转入账户:0x3ccc8f7415e09bead930dc2b23617bd39ced2c06
声音 | 慢雾安全团队针对USDT充值漏洞做出回应:据火讯财经报道,慢雾安全团队针对USDT充值漏洞做出了回应,他们表示:“关于 USDT ‘虚假充值’的事件,目前许多交易所也都发了公告声明说不存在该问题了,存在该问题的交易所也都获取了情报在第一时间修复了,目前应该已经不存在此问题了。我们一般不披露那些还没出现攻击事件的情报。比如单纯漏洞这玩意,挤挤总会有的,多重磅都可以搞个出来,没什么好说,但只要是事件,就代表已经发生,披露我们尽最大努力走负责任路线。我们在给甲方做安全时,会全面带入我们的情报网络,这种价值,似乎还不好量化,但懂的人,会很感激我们。”[2018/7/3]
我们根据AnChain.ai提供给我们的独家情报:Bitrue钱包地址是:0x2c9a81a120d11a4c2db041d4ec377a4c6c401e69由此我们追踪到攻击:
声音 | 慢雾安全团队:门罗币不小心创造了一个网络和平世界:据火讯财经报道,慢雾安全团队表示:“门罗币不小心创造了一个网络和平世界,因为其CPU/GPU算力友好,对抗职业矿机(比如ASIC芯片),且门罗是最早的一批,算是匿名币的龙头,地下黑客入侵大量服务器,以前是勒索、窃取机密,现在大规模做CPU挖矿,所发布的典型蠕虫病修补了相关漏洞入口,杀掉了蠕虫对手,安全加固了相关机制,然后它仅挖矿,不少企业入侵事件的发现不是因为发现蠕虫,而是发现服务器或主机卡了,这些蠕虫挖的主要就是门罗。”[2018/7/3]
查询区块高度:7254355
区块:7254430
我们从区块上发现下图这笔原有的交易不存在了:
此时完成了对Bitrue的第一次4000ETC的攻击。剩下对Bitrue9000ETC的攻击也相同。Bitrue官方也在推特上确认:
我们继续向前追踪:时间点:2019-01-0603:26:56UTC
查询区块:
时间点:2019-01-0603:27:11UTC
查询区块:
完成第一次对0xD850560ccc2a5E50b5e678031ED2598713eb3E47600ETC的攻击。这与Coinbase博客发布的信息相同:
基于持续跟踪,我们发现,鉴于各个交易所对区块确认数的提高、对恶意钱包地址的封禁等措施下,攻击者对ETC的51%恶意攻击在UTC2019-01-0804:30:17(北京时间2019-01-0812:30:17)之后已经停止。我们认为攻击者的每次大型攻击都是有足够的成本及风险考虑,其中涉及到攻击前及攻击过程需要花费的金钱及时间成本,攻击后的对抗追踪溯源成本。通过我们的情报分析,攻击者的身份,如果各家相关交易所愿意协助,是可以最终定位出来的。同时,我们认为,鉴于近期区块链资金热度下降导致全网挖矿算力下降,大家已经切实感受到针对ETC51%攻击的影响,可预见未来伴随攻击成本降低此类攻击将快速增多,我们在此特别建议对以下当前有获利空间的币种增加风控机制。参考地址:https://www.crypto51.app
*备注:Gate.io钱包地址:0x0d0707963952f2fba59dd06f2b425ace40b492feGate.io给出疑似攻击者所拥有和操纵的ETC钱包地址:0xb71d9CD39b68a08660dCd27B3EAE1c13C1267B100x3ccc8f7415e09bead930dc2b23617bd39ced2c060x090a4a238db45d9348cb89a356ca5aba89c75256Bitrue钱包地址:0x2c9a81a120d11a4c2db041d4ec377a4c6c401e69涉及矿工或者大户:http://gastracker.io/addr/0x090a4a238db45d9348cb89a356ca5aba89c75256http://gastracker.io/addr/0x07ebd5b21636f089311b1ae720e3c7df026dfd72我们已经第一时间将这些恶意钱包地址及恶意关联地址加入BTI系统的恶意钱包地址库并提供给合作伙伴,防止攻击者进一步攻击其他交易所。最后我们建议所有数字资产相关服务平台阻止来自以上恶意钱包地址的转账,并加强风控、保持高度关注,警惕随时可能再次爆发的双花攻击。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。