TRU:慢霧安全團隊關于 ETC 51% 算力攻擊的分析_門羅幣cpu挖礦收益計算器

本文來自：慢霧科技，作者慢霧安全團隊，Odaily星球日報經授權轉載。北京時間2019年1月6日，我們據慢霧區伙伴情報及BTI(區塊鏈威脅情報)系統的異常情報分析在慢霧區預警了ETC網絡的51%算力攻擊的可能性。次日，得到了ETC官方、Coinbase官方的回應和分析。ETC官方推特發布："ChineseblockchainsecurityfirmSlowMistsentoutanalertthattheEthereumClassic(ETC)networkmighthavebeentargetedbya51%attack."Exclusive:One$ETCPrivatePoolClaimedover51%NetworkHashrate-Reportedvia@SlowMist_TeamCoinbase官方博客發布：Jan.7,10:27pmPT：Coinbase官方已經確定了總共15次攻擊，其中12次包含雙花，共計219,500ETC2019年01月08日收到消息，Gate.io官方確認ETC網絡51%算力攻擊，共檢測到7筆交易回滾。其中有四筆總計54200ETC來自攻擊者，這四筆交易的txHash為：0xb5e074866653670f93e9fd2d5f414672df9f5c21baa12b83686e1364447963380xee31dffb660484b60f66e74a51e020bc9d75311d246f4636c0eabb9fdf1615770xb9a30cee4ff91e7c6234a0aa288091939482a623b6982a37836910bb18aca6550x9ae83e6fc48f63162b54c8023c7a9a55d01b7085294fb4a6703783e76b1b492a攻擊者擁有和操縱的ETC錢包地址有：0xb71d9CD39b68a08660dCd27B3EAE1c13C1267B100x3ccc8f7415e09bead930dc2b23617bd39ced2c060x090a4a238db45d9348cb89a356ca5aba89c75256我們從2019年01月06日開始基于BTI系統、相關已披露情報及相關區塊瀏覽器進行了持續的關注與跟蹤：跟蹤發現，與惡意錢包地址0x3ccc8f7415e09bead930dc2b23617bd39ced2c06第一次有交叉的地址是：0x24FdD25367E4A7Ae25EEf779652D5F1b336E31da

以太坊客戶端Prysm已通過慢霧安全審計：發現2個低風險和1個建議漏洞:金色財經報道，慢霧(SlowMist)宣布已正式完成了對以太坊共識層客戶端 Prysm 的安全審計服務，發現了2個低風險和1個建議漏洞，目前問題已得到解決，并由審計人員再次審查并通過。Prysm是當前用戶規模最大的以太坊客戶端，目前有超過 42% 的驗證節點都在使用 Prysm 驗證交易，由以太坊核心開發團隊 Prysmatic Labs 開發。[2023/2/23 12:23:48]

在此地址基礎上我們繼續追蹤，追蹤到第一個時間點地址：0x24fdd25367e4a7ae25eef779652d5f1b336e31da時間：2019-01-0519:58:15UTC

0x3f5CE5FBFe3E9af3971dD833D26bA9b5C936f0bE是幣安錢包地址：

慢霧安全提醒：近期有黑客團伙進行釣魚攻擊 目前已經有部分交易平臺遭受攻擊:據慢霧區伙伴無極實驗室消息，近期有黑客團伙利用 Windows10 的 IE11/Edge Legacy 和 MS Teams 結合 ms-officecmd 的遠程代碼漏洞進行釣魚攻擊，攻擊者通過構造惡意的 exploit 的鏈接發送給交易平臺的內部人員，并誘導內部人員點擊惡意的鏈接，從而控制內部人員的電腦，來實施對交易平臺的盜幣攻擊。目前已經有部分交易平臺遭受攻擊，請自查是否有訪問過如下的鏈接或 IP 地址。

攻擊者相關信息：

鏈接: https://giantblock[.]org，https://financialtimes365[.]com

C&C: plusinfo24[.]com

IP 地址: 162.213.253.56[2022/2/11 9:45:23]

也就是說：攻擊者從幣安錢包提了大量的ETC到：0x24fdd25367e4a7ae25eef779652d5f1b336e31da然后，將幣轉入賬戶：0x3ccc8f7415e09bead930dc2b23617bd39ced2c06

慢霧安全：警惕Big Data Protocol合約相關風險:據慢霧區消息，知名DeFi項目Big Data Protocol因項目自身代碼Bug出現無法正常領取獎勵的問題。經慢霧安全團隊分析，此問題系Big Data Protocol的BDP代幣合約在mint函數中對seePoolAmount變量做了錯誤的校驗，導致合約功能無法正常執行。目前合約用戶只能通過緊急提現函數對資金進行提現。但緊急提現函數無法同時提現挖礦收益。

慢霧安全團隊提醒用戶注意Big Data Protocol合約風險，如有參與，可通過emergency Withdraw函數將資金安全取出。[2021/3/12 18:40:04]

我們根據AnChain.ai提供給我們的獨家情報：Bitrue錢包地址是：0x2c9a81a120d11a4c2db041d4ec377a4c6c401e69由此我們追蹤到攻擊：

動態 | 慢霧安全團隊發布Mosaic 匿名幣市場研究報告:慢霧安全團隊今日發布Mosaic匿名幣市場研究報告，其中暗網里的結論和我們的研究有些差距，不過整體可做參考（和覆蓋面及暗網的理解有關），比如這里的分析是暗網里的商戶網站（大概 44 個流行的）98% 都接收比特幣，10 家（23%）接收門羅幣，9 家接收比特幣現金，7 家接收萊特幣，4 家接收達世幣，4 家接收以太坊，2 家接收大零幣(Zcash)。這只是暗網商戶的數據統計。

暗網還有類、獨立研究類、黑客組織類、暗網服務類等等。暗網不一定都在 Tor 里，也有在 I2P 里，在獨立的匿名協議應用里，甚至有的表面掛在明網里（但背后許多操作走了 Tor 以保證匿名不可追溯）。

暗網和明網并非都是完全隔離，已經存在許多組合和銜接。暗網的生態應該把這些都考慮進去。如果把惡意蠕蟲的地下世界也考慮進去，會發現有一類蠕蟲叫挖礦蠕蟲，主要挖的幣就是門羅幣，這是因為門羅幣的生態價值及 GPU/CPU 挖礦友好性，導致許多服務器、個人電腦、嵌入式設備都可以拿來挖門羅幣。挖礦出來產生的交易也考慮在內的話，門羅幣在暗網世界的活躍度與生態是第一。Mosaic的研究報告詳情可見原文鏈接。[2019/7/18]

查詢區塊高度：7254355

分析 | 慢霧安全團隊提醒｜EOS假賬號安全風險預警:根據IMEOS報道，EOS 假賬號安全風險預警，慢霧安全團隊提醒：

如果 EOS 錢包開發者沒對節點確認進行嚴格判斷，比如應該至少判斷 15 個確認節點才能告訴用戶賬號創建成功，那么就可能出現假賬號攻擊。

攻擊示意如下：

1. 用戶使用某款 EOS 錢包注冊賬號（比如 aaaabbbbcccc），錢包提示注冊成功，但由于判斷不嚴格，這個賬號本質是還沒注冊成功

2. 用戶立即拿這個賬號去某交易所做提現操作

3. 如果這個過程任意環節作惡，都可能再搶注 aaaabbbbcccc 這個賬號，導致用戶提現到一個已經不是自己賬號的賬號里

防御建議：輪詢節點，返回不可逆區塊信息再提示成功，具體技術過程如下：

1. push_transaction 后會得到 trx_id

2. 請求接口 POST /v1/history/get_transaction

3. 返回參數中 block_num 小于等于 last_irreversible_block 即為不可逆[2018/7/16]

區塊：7254430

我們從區塊上發現下圖這筆原有的交易不存在了：

此時完成了對Bitrue的第一次4000ETC的攻擊。剩下對Bitrue9000ETC的攻擊也相同。Bitrue官方也在推特上確認：

我們繼續向前追蹤：時間點：2019-01-0603:26:56UTC

查詢區塊：

時間點：2019-01-0603:27:11UTC

查詢區塊：

完成第一次對0xD850560ccc2a5E50b5e678031ED2598713eb3E47600ETC的攻擊。這與Coinbase博客發布的信息相同：

基于持續跟蹤，我們發現，鑒于各個交易所對區塊確認數的提高、對惡意錢包地址的封禁等措施下，攻擊者對ETC的51%惡意攻擊在UTC2019-01-0804:30:17(北京時間2019-01-0812:30:17)之后已經停止。我們認為攻擊者的每次大型攻擊都是有足夠的成本及風險考慮，其中涉及到攻擊前及攻擊過程需要花費的金錢及時間成本，攻擊后洗錢的對抗追蹤溯源成本。通過我們的情報分析，攻擊者的身份，如果各家相關交易所愿意協助，是可以最終定位出來的。同時，我們認為，鑒于近期區塊鏈資金熱度下降導致全網挖礦算力下降，大家已經切實感受到針對ETC51%攻擊的影響，可預見未來伴隨攻擊成本降低此類攻擊將快速增多，我們在此特別建議對以下當前有獲利空間的幣種增加風控機制。參考地址：https://www.crypto51.app

*備注：Gate.io錢包地址：0x0d0707963952f2fba59dd06f2b425ace40b492feGate.io給出疑似攻擊者所擁有和操縱的ETC錢包地址：0xb71d9CD39b68a08660dCd27B3EAE1c13C1267B100x3ccc8f7415e09bead930dc2b23617bd39ced2c060x090a4a238db45d9348cb89a356ca5aba89c75256Bitrue錢包地址：0x2c9a81a120d11a4c2db041d4ec377a4c6c401e69涉及礦工或者大戶：http://gastracker.io/addr/0x090a4a238db45d9348cb89a356ca5aba89c75256http://gastracker.io/addr/0x07ebd5b21636f089311b1ae720e3c7df026dfd72我們已經第一時間將這些惡意錢包地址及惡意關聯地址加入BTI系統的惡意錢包地址庫并提供給合作伙伴，防止攻擊者進一步攻擊其他交易所。最后我們建議所有數字資產相關服務平臺阻止來自以上惡意錢包地址的轉賬，并加強風控、保持高度關注，警惕隨時可能再次爆發的雙花攻擊。

Tags：ETCCCC門羅幣TRUetc幣有沒有投資價值ECCC門羅幣cpu挖礦收益計算器TRUC

中幣交易所