EOS“假充值”攻擊來臨 平台方做出回應

3月12日,慢霧分析預警,如果數字貨币交易所、錢包等平台在進行“EOS充值交易确認是否成功”的判斷存在缺陷,可能導緻嚴重的“假充值”。攻擊者可以在未損失任何EOS的前提下成功向這些平台充值EOS,而且這些 EOS可以進行正常交易。這把EOS又一次推向了風口浪尖。

現在,慢霧安全團隊已經确認真實攻擊發生,但需要注意的是:EOS這次假充值攻擊和之前慢霧安全團隊披露過的USDT假充值、以太坊代币假充值類似,更多責任應該屬于平台方。由于這是一種新型攻擊手法,且攻擊已經在發生,相關平台方如果對自己的充值校驗沒有十足把握,應盡快暫停EOS充提,并對賬自查。

慢霧安全團隊3月12日上午發布了 EOS 假充值紅色預警後,聯合 EOSPark 的大數據分析系統持續跟蹤和分析發現:從昨日開始,存在十幾個賬号利用這類攻擊技巧對數字貨币交易所、錢包等平台進行持續性攻擊,并有被真實攻擊情況。慢霧安全團隊在此建議各大交易所、錢包、DApp 做好相關防禦措施,嚴格校驗發送給自己的轉賬交易在不可逆的狀态下确認交易的執行狀态是否為 executed。除此之外,确保以下幾點防止其他類型的“假充值”攻擊:

1. 判斷 action 是否為 transfer

2. 判斷合約賬号是否為 eosio.token 或其它 token 的官方合約

3. 判斷代币名稱及精度

4. 判斷金額

目前,已有交易平台發表回複。OKEx在推特針對EOS“假充值”攻擊作出了回應:已對EOS“假充值”進行了了解,确認OKEx并不會受到攻擊,請放心你們的資産是安全的。

5. 判斷 to 是否是自己平