慢霧提醒：警惕 Filecoin RBF 假充值攻擊_ETC

鏈聞消息，針對Filecoin出現「雙花交易」和多家交易所關閉FIL充值通道一事，慢霧安全團隊對相關信息分析發現，這是一起Filecoin的RBF假充值攻擊事件而非「雙花交易」。攻擊者預先發送一筆低gas-feecap的交易，然后通過提高gas-premium和gas-feecap替換原交易，此時RBF交易優先被打包上鏈，舊交易被丟棄，但是由于FilecoinlotusRPC有一個特性，在查詢舊交易的執行狀態時返回的是RBF交易的執行狀態，導致交易所對兩筆交易重復入賬。慢霧安全團隊提醒交易所及相關錢包方，在充值入賬時，需要對比查詢返回結果中的cid與查詢的cid是否一致，并配合ChainGetParentMessages和ChainGetParentReceipts等接口進行查詢對比，避免重復入賬。與此前慢霧區發現的假充值攻擊不同的是，此次攻擊方法更加隱蔽，是由于Filecoin節點特性所引起，交易所及相關錢包方應再次檢查充值入賬程序，除了RBF外，還有常規的To、Value、轉賬類型Method，以及執行結果ExitCode等字段的校驗，必要時可請安全審計公司協助檢測。

聲音 | 慢霧預警：攻擊者開啟狩獵攻擊模式:針對近期 EOSABC 連續三次被成功攻擊的細節剖析來看，前兩次是我們多次預警的交易排擠攻擊，但今天凌晨的第三次并非交易排擠攻擊，交易排擠只是障眼法，而真正達到攻擊目的的是交易回滾攻擊（開獎>被攻擊者拒絕>繼續開獎，直到滿足獲勝條件，攻擊者不再拒絕）。通過我們的分析及和項目方的對稱，攻擊者是同一撥人，攻擊手法也在根據項目的更新情況變化。通過對過往的情報關聯分析，攻擊者已經開啟了狩獵攻擊模式，從攻擊前的踩點分析到攻擊中的具體方法再到攻擊后的洗錢操作，且攻擊者對我們的情報披露及相關防御策略的關注也很及時。

我們呼吁 EOS DApp 項目方在 DApp 上線前做好足夠的安全審計及風控策略，并及時關注來自安全公司的威脅情報同步。同時，我們呼吁攻擊者停止繼續攻擊并歸還攻擊所得，我們將聯合相關交易平臺及執法部門采取進一步措施。攻擊者在 EOS 上的相關賬號如下：loveforlover、wangshaoyong、zhangyanjing、floatingsnow、dolastattack、doespaperock、sunshinesnow、norealrandom、welcomerobin、whateverbeen、winsonknight、nodispromise 等數十個關聯賬號。[2019/1/30]

聲音 | 慢霧：ETC 51%雙花攻擊所得的所有ETC已歸還完畢:據慢霧區消息，ETC 51%攻擊后續：繼Gate.io宣稱攻擊者歸還了價值10萬美金的ETC后，另一家被成功攻擊的交易所Yobit近日也宣稱收到了攻擊者歸還的122735 枚 ETC。根據慢霧威脅情報系統的深度關聯分析發現：攻擊者于UTC時間2019年1月10日11點多完成了攻擊所獲的所有ETC的歸還工作，至此，持續近一周的 ETC 51% 陰云已散。[2019/1/16]

動態 | 慢霧區：已修復EOS智能合約底層asset類溢出缺陷:據慢霧區消息， EOS智能合約底層asset類存在溢出缺陷，目前 EOSIO v1.1.4版本已修復該問題。如果智能合約中使用到了 asset的乘法操作，建議更新對應的代碼并重新編譯合約。因為像 asset這樣的工具代碼是靜態編譯進合約中的，必須重新編譯才能解決其中的安全隱患。[2018/8/9]

Tags：ETCEOSFILECOBasketCoinWeosHFILSAFECOM

DOT