以太坊黑色情人节专题上线及一些补充观点

慢雾安全团队  2018-03-26  以太坊/以太坊(Ethereum)栏目  

以太坊黑色情人节专题上线及一些补充观点

  上周二(2018.3.20)我们披露了以太坊生态一个严重安全缺陷,细节可以查看:

  中文版:

  以太坊生态缺陷导致的一起亿级代币盗窃大案

  英文版:

  Billions of Tokens Theft Case cause by ETH Ecological Defects

  由于这个安全缺陷导致的盗币事件持续了两年之久且到现在还在持续,涉及的金额极其庞大,我们团队为此特意上线了专题页面来进行及时的威胁追踪。

  以太坊黑色情人节专题页面:

  https://4294967296.io/eth214/

  之所以命名这个为“黑色情人节”是因为这次事件的最大钱包地址的第一笔盗币行为发生在 2016/2/14,这天是情人节。

以太坊黑色情人节专题上线及一些补充观点

以太坊黑色情人节专题上线及一些补充观点

  我们希望这种持续的追踪与披露能够让以太坊生态更加的安全,这是我们作为以太坊生态参与者的一份责任。

  关于这次事件我们还有一些进一步的观点需要补充下:

  我们之所以说这是安全缺陷,而对“漏洞”只字未提的原因是:因为这不是严谨意义上的漏洞,我们更愿意说这是缺陷,而且我们强调了这是以太坊生态安全缺陷,注意是“生态”的“缺陷”。安全得很严谨,否则被滥用可不好。

  我们的墨子(MOOZ)系统对全球的比特币等节点进行了探测,并不存在以太坊生态这类安全缺陷。

  这个安全缺陷的解决需要以太坊生态的 Geth/Parity 这些节点部署程序的共同改进,至少在节点上不应该存在私钥相关文件,具体解决方案可以参考上述细节链接里的“防御建议”。

  由于 web3.js(Ethereum JavaScript API) 生态的存在,节点加认证的解决方案似乎不是个好方案。

  我们披露这次事件后,国内外也有其他团队跟进了披露,我们也得到了这个生态不少朋友的帮忙。这些帮忙对我们来说很重要,可以加速整个生态安全的促进。

  后续我们会持续追踪,请密切关注我们的动态,包括这次上线的以太坊黑色情人节专题:

  https://4294967296.io/eth214/

  黑客与区块链系列文章:

  从狗币谈起

  深入研究的套路之黑客与区块链

  杂谈地下黑客的匿名对抗一

  5天钓到40枚以太币

  以太坊生态缺陷导致的一起亿级代币盗窃大案

  ...

  如果你觉得这篇文章对你有启发,可以打赏:

  狗币地址:

  9zdJzhm8oTLFMhzF4rFa2igJDnfoRGj8mV

  -----------------

  微信公众号「Lazy-Thought」

  几个黑客在维护,都很懒,都想改变点什么

版权信息
作者:慢雾安全团队
来源:懒人在思考

关于我们

联系我们

作者进驻

手机版

Copyright © 2013 比特巴 www.btb8.com