預警:黑客利用EOS系統帳號onerror特性惡意挖礦

今日下午，PeckShield安全盾風控平臺DAppShield監測到黑客向系統合約發起連續攻擊，劫持延遲交易執行失敗時系統合約調用的onerror動作，進行惡意挖礦EIDOS，目前攻擊仍在持續進行中。PeckShield安全人員分析發現，有黑客利用延遲交易執行失敗時，系統合約eosio會調用用戶合約的onerror接口的特性，在合約的onerror接口中嵌入惡意挖礦操作。與之前利用系統合約的短帳號競拍功能挖礦相比，該攻擊同樣利用系統帳號擁有無限制的CPU資源的同時，成本更低。因此，該攻擊的蔓延會進一步加劇EOS網絡的擁堵狀況。PeckShield在此提醒，隨著EIDOS惡意挖礦攻擊的不端演變，廣大DApp開發者及交易所，應隨時關注自身帳號CPU的變化，確保必要的操作可以執行，必要時可尋求第三方安全公司協助，及早發現可能的攻擊，避免不必要的損失。

分析 | 慢霧預警：ADX合約設計疑似存在“后門”風險:安全公司慢霧發布安全預警稱，ADX合約設計疑似存在“后門”風險。具體細節為：在合約中grantVestedTokens方法寫了轉賬是否可以允許被revoke ，可以在grants這個mapping中或者tokenGrant中查到用戶生成的這個TokenGrant到底允不允許revoke, 如果是允許revoke則要慎重，用戶可以通過revokeTokenGrant撤回，這樣holder就會受到損失，代幣可能會回到原本用戶的余額上或者 轉到0xdead, 這取決于burnsOnRevoke的值。

ADX項目業務設計比較特殊，如果在對接交易所的話，沒有說明對接的方式，以及一些特殊方法的調用和判斷，會造成交易所損失，請交易所注意對接時候相關細節處理。[2019/5/10]

動態 | 預警: 警惕EOS主網“交易阻塞攻擊”繼續蔓延:昨天，區塊鏈安全公司PeckShield發出EOS主網存在致命交易阻塞攻擊漏洞高危預警。PeckShield安全人員已經于第一時間（前天）就緊急聯系了block.one團隊，并同時輔助展開緊急修復(CVE-2019-6199)。不過，由于該攻擊原理目前已被攻擊者知曉，且我們已經監測有多起EOS競猜類游戲遭攻擊事件發生。PeckShield再次發出預警：1、不同于以往隨機數和交易回滾合約層的問題，交易阻塞攻擊屬于公鏈底層的漏洞，在問題修復前，必然會進一步蔓延威脅到更多EOS DApps的安全；2、目前EOS競猜類游戲隨機數算法中只要包含賬號余額或時間因素就存在被攻擊可能，建議廣大EOS競猜游戲務必緊急自查并做相應布控防御措施。3、DAppShield安全盾已經根據攻擊特征做全網布控預警，建議廣大DApp開發者應及時梳理現有DApp邏輯，隨時聯系我們或自行去除可控變量如賬號余額或時間因素等參與隨機數生成，盡可能避免因阻塞攻擊造成資產損失。[2019/1/13]

對沖基金Elliott預警：加密貨幣市場陷入嚴重熊市 崩盤的可能性在上升:美資對沖基金Elliott Management創辦人、富豪投資者Paul Singer在給客戶的信中指出，加密貨幣市場陷入嚴重熊市或是崩盤可能性在上升，對于全球經濟和金融體系來說，現時是一個極其危險的時期。他在信中并對虛擬貨幣作出嚴厲批評，稱其未來很可能將被描述為“有史以來最精彩的騙局之一”，認為比特幣及其其它數字貨幣“一文不值”。[2018/2/22]

Tags：SHIELDELDSHIEOSTenzShieldPolyShield.FinanceHSHIBA價格PEOS

XRP