EOS:安全團隊：Rubic被攻擊事件簡析

金色財經報道，據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示，Rubic項目被攻擊，Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗，_params可以指定任意的參數，攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數，把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址，被盜資金近1100個以太坊，通過BeosinTrace追蹤發現被盜資金已經全部轉入了Tornadocash。

安全團隊：2018年Gate.io攻擊事件黑客已將1944.72枚ETH轉移至不同錢包:金色財經報道，據CertiK監測，黑客正在轉移2018年Gate.io攻擊事件中的被盜資金。截止目前，賬戶地址（0xff8...）已將1944.72枚ETH（約314.9萬美元）轉至不同錢包。[2023/2/23 12:24:15]

安全團隊：DerpyPunkz項目的Discord服務器遭攻擊:7月20日消息，據CertiK監測，DerpyPunkz的Discord服務器遭到攻擊，攻擊者發布了釣魚鏈接，與此前Maximalist項目攻擊者相同。請社區用戶不要點擊鏈接、鑄造或批準任何交易。[2022/7/20 2:24:35]

分析 | 慢霧安全團隊提醒｜EOS假賬號安全風險預警:根據IMEOS報道，EOS 假賬號安全風險預警，慢霧安全團隊提醒：

如果 EOS 錢包開發者沒對節點確認進行嚴格判斷，比如應該至少判斷 15 個確認節點才能告訴用戶賬號創建成功，那么就可能出現假賬號攻擊。

攻擊示意如下：

1. 用戶使用某款 EOS 錢包注冊賬號（比如 aaaabbbbcccc），錢包提示注冊成功，但由于判斷不嚴格，這個賬號本質是還沒注冊成功

2. 用戶立即拿這個賬號去某交易所做提現操作

3. 如果這個過程任意環節作惡，都可能再搶注 aaaabbbbcccc 這個賬號，導致用戶提現到一個已經不是自己賬號的賬號里

防御建議：輪詢節點，返回不可逆區塊信息再提示成功，具體技術過程如下：

1. push_transaction 后會得到 trx_id

2. 請求接口 POST /v1/history/get_transaction

3. 返回參數中 block_num 小于等于 last_irreversible_block 即為不可逆[2018/7/16]

Tags：EOSTRASINUBINEOS幣Noah Decentralized State CoinSINOCUBISwap

Gate交易所