世界上有一群人,互聯網對于他們來說就是提款機。
是的,過去是,現在更是,因為電子貨幣的出現,他們提款的速度變得更瘋狂。
在2017年,我們的蜜罐監測到一起針對以太坊的全球大規模攻擊事件,我們將其命名為以太坊“偷渡”漏洞。通過該漏洞,黑客可以在沒有服務器權限、沒有keystore密碼權限的情況下,轉走錢包中的所有余額。
而如此嚴重的漏洞,1年前就在reddit.com被曝光有黑客在利用,并且最早可追溯到2016年的2月14號就有黑客通過此漏洞竊取到比特幣,近期也有中國的慢霧安全團隊揭露了這種攻擊手法:查看原文鏈接
在長達2年的時間里,并沒有多少用戶關注到,以太坊也沒有進行針對性的防護措施,直到今日,以太坊的最新代碼中依然沒有能夠抵御這種攻擊。
消息人士:SEC準備考慮批準以太坊期貨ETF:金色財經報道,據兩位直接熟悉以太坊期貨ETF文件的消息人士透露,美國證券交易委員會(SEC)已表示準備公開考慮此類產品。然而,一位消息人士補充說,監管機構愿意對以太坊期貨ETF進行權衡并不能保證它們會獲得批準。
金色財經曾報道,Grayscale曾在5月份尋求推出以太坊期貨ETF,但幾天后撤回。Bitwise Asset Management、Direxion和 Roundhill Investments緊隨Grayscale 后不久也撤回了申請。VanEck基金集團數字資產研究主管Matthew Sigel表示,SEC對加密ETF的政策“完全不一致”。[2023/8/3 16:15:11]
因此我們決定將我們所掌握的詳細數據公布給所有人,希望能促使以太坊的開發者承認并修復該漏洞。
Tether于以太坊網絡增發10億枚USDT:3月14日消息,據 Whale Alert 數據顯示,穩定幣發行商 Tether 于北京時間 3 月 14 日 22:36:11 在以太坊網絡增發 10 億枚 USDT。
Tether 首席技術官 Paolo Ardoino 補充表示,這是一筆在以太坊網絡已授權但未發行的交易,意味著本次增發將用于下一次發行請求和鏈上交互。[2023/3/15 13:04:16]
漏洞成因
以太坊目前最流行的節點程序都提供了RPCAPI,用于對接礦池、錢包等其他第三方程序。
默認情況下,節點的RPC服務是無需密碼就可以進行接口調用,官方實現的RPCAPI也并未提供設置RPC連接密碼的功能,因此,一旦將RPC端口暴露在互聯網,將會非常危險。
數據:以太坊上的手續費支出下降84.39%:據歐科云鏈OKLink數據顯示,六月以來,以太坊礦工收入為4.09億美元,較五月同期環比下降62.6%。鏈上交易手續費的大幅下降是造成礦工收入減少的主要原因,五月同期,礦工僅手續費收入就達到4.1億美元,而本月至今的手續費僅為0.64億美元,降幅達84.39%。[2021/6/11 23:29:58]
而我們所捕獲的以太坊“偷渡”漏洞,正是利用了以太坊默認對RPC不做鑒權的設計。
被攻擊的用戶,需要具備以下條件:
1、節點的RPC端口對外開放2、節點的RPC端口可直接調用API,未做額外的鑒權保護3、節點的區塊高度已經同步到網絡的最新高度,因為需要在該節點進行轉賬,如果未達到最高度,無法進行轉賬
當用戶對自己的錢包進行了解鎖,在解鎖超時期間,無需再輸入密碼,便可調用RPCAPI的eth_sendTransaction進行轉賬操作。
公告 | Gate.io支持2月底以太坊ETH君士坦丁堡升級:據官方消息,由于開發人員發現了新的代碼漏洞,原計劃進行的以太坊君士坦丁堡(Constantinople)升級被推遲到本月底。本次分叉將在第7,280,000區塊發生,預計分叉日期為2月27日。Gate.io將會支持本次以太坊ETH君士坦丁堡升級。[2019/2/18]
漏洞的關鍵組成,由未鑒權的RPCAPI服務及解鎖賬戶后有一定的免密碼時間相結合,以下是解鎖賬戶的unlockAccount函數:
代碼路徑:go-ethereum/internal/jsre/deps/api.go
通過函數的實現代碼可見,解鎖賬戶的api允許傳入超時時間,默認超時為300秒,
真正進行解鎖的函數TimedUnlock實現如下:
動態 | 以太坊未確認交易35797筆:據Etherscan.io數據顯示,當前以太坊未確認交易為35797筆,與昨日基本持平,網絡擁堵情況沒有得到進一步改善。[2019/1/26]
代碼路徑:go-ethereum/accounts/keystore/keystore.go
當傳入的超時大于0時,會發起一個協程進行超時處理,如果傳入的超時時間為0,則是永久不會超時,賬戶一直處于解鎖狀態,直到節點進程退出。
攻擊手法揭秘
1.尋找對外開放以太坊RPC端口的服務器,確認節點已經達到以太坊網絡的最高區塊高度
黑客通過全球的端口服務掃描,發現RPC服務為以太坊的RPC接口時,調用eth_getBlockByNumber(‘last’,false),獲取最新的區塊高度。
但是由于有些以太節點是以太坊的分叉幣,高度與以太坊的不一樣,因此黑客即使發現節點高度與以太坊的高度不一樣,也不會放棄攻擊。
2.調用eth_accounts,獲取該節點上的所有賬戶。
eth_accounts的請求將返回一個賬戶地址列表:
3.調用eth_getBalance,查詢地址余額。
這個過程黑客可在自己的服務器完成以太坊的余額查詢,因為以太坊的區塊鏈賬本數據庫是隨意公開獲取的。
有部分黑客沒有搭建以太坊的全節點,沒有自行查詢余額,因此也會在被攻擊服務器進行eth_getBalance操作。
4.持續調用轉賬操作,直到剛好用戶用密碼解鎖了錢包,完成非法轉賬操作的“偷渡”
黑客會構造eth_sendTransaction的轉賬操作,并填寫余額、固定的手續費:
用戶使用錢包,輸入密碼解鎖了錢包,此時錢包余額會立即被轉走。
快速漏洞測試
安裝python的web3庫,然后連接RPC端口,發起請求,如果獲取到返回結果,便可能存在該漏洞。
參考:http://web3py.readthedocs.io/en/stable/quickstart....
fromweb3importWeb3,HTTPProvider,IPCProvider
web3=Web3(HTTPProvider(‘http://ip:port’))
web3.eth.blockNumber
黑客解密及IOCs情報
黑客錢包
目前我們掌握了3個黑客的錢包收款地址,未轉走的賬戶余額為2220萬美金:
https://etherscan.io/address/0x957cD4Ff9b3894FC78b...,余額為38,076ETH,最早進賬為2016-2-14,最新進賬為2018-3-21
https://etherscan.io/address/0x96a5296eb1d8f8098d3...,余額為321ETH,最早進賬為2016-8-10,最新進賬為2017-11-28。
https://etherscan.io/address/0xdc3431d42c0bf108b44...,余額為330ETH,最早進賬為2018-2-06,最新進賬為2018-3-20。
黑客攻擊源IP
146.0.249.87162.251.61.133190.2.133.11485.14.240.84
目前大部分的黑客使用https://github.com/regcostajr/go-web3進行頻繁API請求,如果有看到大量user-agent為“Go-http-client/1.1”的POST請求時,請記錄下請求內容,確認是否為惡意行為。
緊急響應及修復建議
1,、關閉對外暴露的RPC端口,如果必須暴露在互聯網,請使用鑒權:https://tokenmarket.net/blog/protecting-ethereum-j...2、借助防火墻等網絡防護軟件,封堵黑客攻擊源IP3、檢查RPC日志、web接口日志,是否有異常大量的頻繁請求,檢查請求內容是否為eth_sendTransaction4、等待以太坊更新最新代碼,使用修復了該漏洞的節點程序
日本和俄羅斯消息人士2日說,兩國原本商定共同改建俄羅斯遠東地區一處機場,但日方提出的合作方案在最終階段遭俄方拒絕。按日本媒體的說法,這項工程一度被視為兩國經濟合作的象征,日方對未能參與感到受挫.
1900/1/1 0:00:00大談“無幣區塊鏈”的人,至少對區塊鏈精神是無知的。區塊鏈技術,最簡單的理解就是分布式賬本記賬。一大群互不相識的人,每人手上都有一個電子賬本,發生任何一筆有效交易時,都會記錄在自己的賬本中.
1900/1/1 0:00:00在7月3日星期三宣布暫停所有交易和提款后,幣安現在已經恢復了服務。這一暫停是由于一些API用戶對“不定期”Syscoin(SYS)交易發出警告.
1900/1/1 0:00:001.英國《權利法案》頒布的意義在于A.結束了英國資產階級革命B.為限制王權提供了法律保障C.資產階級和新貴族通知的建立D.推翻了復辟的斯圖亞特王朝2.下列有關中東地區的問題的敘述正確的是A.
1900/1/1 0:00:00近幾年,以比特幣為代表的數字加密貨幣得到飛速發展,形成一股數字加密浪潮。以知名度最高的比特幣為例,2017年9月,一枚比特幣價格達到5000美元,此后經歷下跌又上漲,到2017年11月初,一枚比.
1900/1/1 0:00:00作者:陳達 來源:雪球 芒格曾說過兩句話,如仙露明珠。一句是:我做的只是在觀察——什么靈,什么不靈,以及為什么。另一句是:一個人能做的至善之舉,就是幫助另一個人知道得更多.
1900/1/1 0:00:00