世界上有一群人,互联网对于他们来说就是提款机。
是的,过去是,现在更是,因为电子货币的出现,他们提款的速度变得更疯狂。
在2017年,我们的蜜罐监测到一起针对以太坊的全球大规模攻击事件,我们将其命名为以太坊“偷渡”漏洞。
通过该漏洞,黑客可以在没有服务器权限、没有keystore密码权限的情况下,转走钱包中的所有余额。
而如此严重的漏洞,1年前就在reddit.com被曝光有黑客在利用,并且最早可追溯到2016年的2月14号就有黑客通过此漏洞窃取到比特币:
近期也有中国的慢雾安全团队揭露了这种攻击手法:
在长达2年的时间里,并没有多少用户关注到,以太坊也没有进行针对性的防护措施,直到今日,以太坊的最新代码中依然没有能够抵御这种攻击。
因此我们决定将我们所掌握的详细数据公布给所有人,希望能促使以太坊的开发者承认并修复该漏洞。
漏洞成因
以太坊目前最流行的节点程序都提供了RPCAPI,用于对接矿池、钱包等其他第三方程序。
Arkham CEO:缺乏隐私是当今大多数公链的常态:金色财经报道,Arkham CEO Miguel Morel针对近期对项目可能泄露私人信息的批评做出回应,称“认为缺乏隐私是当今大多数公链所固有的运作方式”,他称:“你实际上是在进行交易,并正在向一个由数百万人组成的去中心化网络广播,所有人都可以在链上查看哪些交易正在广播。公开可用的区块链可能是保持私人信息私密的最糟糕的方式。”
Morel还表示,“Arkham的主要客户交易员和对冲基金——那些通过获取关于某个特定代币的大额买卖仓位信息来赚钱的人。”[2023/7/16 10:57:50]
默认情况下,节点的RPC服务是无需密码就可以进行接口调用,官方实现的RPCAPI也并未提供设置RPC连接密码的功能,因此,一旦将RPC端口暴露在互联网,将会非常危险。
而我们所捕获的以太坊“偷渡”漏洞,正是利用了以太坊默认对RPC不做鉴权的设计。
被攻击的用户,需要具备以下条件:
节点的RPC端口对外开放节点的RPC端口可直接调用API,未做额外的鉴权保护节点的区块高度已经同步到网络的最新高度,因为需要在该节点进行转账,如果未达到最高度,无法进行转账当用户对自己的钱包进行了解锁,在解锁超时期间,无需再输入密码,便可调用RPCAPI的eth_sendTransaction进行转账操作。
价值4800万美元的第一辆比特币汽车将被拍卖:金色财经报道,Bitcoin Magazine首席执行官David Bailey在价值4800万美元的普锐斯汽车上签署了他的名字。这辆价值4800万美元的普锐斯被称为第一辆比特币汽车,目前正在Scarce.City网站上拍卖,竞价将在本周六晚上11点结束。[2023/5/20 15:15:01]
漏洞的关键组成,由未鉴权的RPCAPI服务及解锁账户后有一定的免密码时间相结合,以下是解锁账户的unlockAccount函数:
代码路径:go-ethereum/internal/jsre/deps/api.go
通过函数的实现代码可见,解锁账户的api允许传入超时时间,默认超时为300秒,
真正进行解锁的函数TimedUnlock实现如下:
代码路径:go-ethereum/accounts/keystore/keystore.go
当传入的超时大于0时,会发起一个协程进行超时处理,如果传入的超时时间为0,则是永久不会超时,账户一直处于解锁状态,直到节点进程退出。
数据:5千万枚USDC从USDC财政部转移到Kraken:金色财经报道,据WhaleAlert数据监测,50,000,000枚USDC(50,030,333 美元)从 USDC 财政部转移到Kraken。[2023/3/24 13:23:08]
详细的用法参考官方文档:https://github.com/ethereum/go-ethereum/wiki/Management-APIs#personal_unlockaccount
攻击手法揭秘
1.寻找对外开放以太坊RPC端口的服务器,确认节点已经达到以太坊网络的最高区块高度
黑客通过全球的端口服务扫描,发现RPC服务为以太坊的RPC接口时,调用eth_getBlockByNumber(‘last’,false),获取最新的区块高度。
但是由于有些以太节点是以太坊的分叉币,高度与以太坊的不一样,因此黑客即使发现节点高度与以太坊的高度不一样,也不会放弃攻击。
2.调用eth_accounts,获取该节点上的所有账户。
Web3游戏发行商Fenix Games完成1.5亿美元资金筹集:11月25日消息,Web3游戏发行商Fenix Games现已筹集1.5亿美元,投资者包括Phoenix Group和迪拜风险投资公司Cypher Capital,计划收购、投资和发行区块链游戏。
Fenix Games首席执行官兼联合创始人Chris Ko之前是Mythical Games的企业发展高级副总裁,曾在Electronic Arts和Kabam担任总经理职务,在此之前,其还曾担任贝莱德投资组合经理和摩根大通股票研究分析师。Fenix Games其他联合创始人包括Mythical Games联合创始人Rudy Koch、曾在瑞士信贷担任全球电子交易主管的Antonio Hallack、Mythical Games前首席运营官Matt Nutt。[2022/11/25 12:33:55]
eth_accounts的请求将返回一个账户地址列表:
3.调用eth_getBalance,查询地址余额。
这个过程黑客可在自己的服务器完成以太坊的余额查询,因为以太坊的区块链账本数据库是随意公开获取的。
消息人士:Multicoin两周内基金资产损失超一半:11月17日消息,据消息人士,因FTX破产事件,Multicoin在大约两周内资产规模下跌55%。该损失除了此前The Block报道的Multicoin基金资产管理规模(AUM)中约有10%被冻结在FTX上以外。
消息人士称,损失还因其长期看涨Solana以及Solana生态项目Mango,持有FTX.US股权,和未完成的衍生品合约。此外,Multicoin没有关闭其旗舰产品或转为自营交易业务的计划,还正在引入运营和基础设施的改进,包括努力降低交易对手风险等。(blockworks.co)[2022/11/17 13:14:50]
有部分黑客没有搭建以太坊的全节点,没有自行查询余额,因此也会在被攻击服务器进行eth_getBalance操作。
4.持续调用转账操作,直到刚好用户用密码解锁了钱包,完成非法转账操作的“偷渡”
黑客会构造eth_sendTransaction的转账操作,并填写余额、固定的手续费:
{“jsonrpc”:”2.0″,”id”:2,”method”:”eth_sendTransaction”,”params”:}{“jsonrpc”:”2.0″,”id”:2,”method”:”eth_sendTransaction”,”params”:}{“jsonrpc”:”2.0″,”id”:2,”method”:”eth_sendTransaction”,”params”:}
其中的value的单位是以太的最小单位:wei,计算为以太的话需要除10的18次方:
0x112345fc21234500019758522752314920960L19758522752314920960L/100000000000000000019L
黑客会持续发转账操作,并定期监控余额变化,更新转账的金额,直到用户使用钱包,输入密码解锁了钱包,此时钱包余额会立即被转走。
快速漏洞测试
安装python的web3库,然后连接RPC端口,发起请求,如果获取到返回结果,便可能存在该漏洞。
参考:http://web3py.readthedocs.io/en/stable/quickstart.html
fromweb3importWeb3,HTTPProvider,IPCProviderweb3=Web3(HTTPProvider(‘http://ip:port’))printweb3.eth.blockNumber
黑客解密及IOCs情报
黑客钱包
目前我们掌握了3个黑客的钱包收款地址,未转走的账户余额为2220万美金:
https://etherscan.io/address/0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464,余额为38,076ETH,最早进账为2016-2-14,最新进账为2018-3-21
https://etherscan.io/address/0x96a5296eb1d8f8098d35f300659c95f7d6362d15,余额为321ETH,最早进账为2016-8-10,最新进账为2017-11-28。
https://etherscan.io/address/0xdc3431d42c0bf108b44cb48bfbd2cd4d392c32d6,余额为330ETH,最早进账为2018-2-06,最新进账为2018-3-20。
黑客攻击源IP
146.0.249.87162.251.61.133190.2.133.11485.14.240.84
目前大部分的黑客使用https://github.com/regcostajr/go-web3进行频繁API请求,如果有看到大量user-agent为“Go-http-client/1.1”的POST请求时,请记录下请求内容,确认是否为恶意行为。
紧急响应及修复建议
关闭对外暴露的RPC端口,如果必须暴露在互联网,请使用鉴权:https://tokenmarket.net/blog/protecting-ethereum-json-rpc-api-with-password/借助防火墙等网络防护软件,封堵黑客攻击源IP检查RPC日志、web接口日志,是否有异常大量的频繁请求,检查请求内容是否为eth_sendTransaction等待以太坊更新最新代码,使用修复了该漏洞的节点程序文章来源:BLS区块链安全实验室
来源链接:www.gongxiangcj.com
本文来源于非小号媒体平台:
共享财经
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626768.html
以太坊ETH漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
美国国家安全局被曝追踪大量比特币用户
最近半年交易所安全事故频发,中心化交易所的弊端暴露无遗,但去中心化交易所因性能问题尚不能大规模普及,处于一个相当尴尬的位置.
2019年,加密货币交易所行业风云变幻。经历了2018年下半年漫长的熊市,终于出现新的热点并激荡着整个市场,直至比特币放量大涨至8300美元而令人激动.
法国央行希望保证银行与其他金融机构远离加密货币业务。在三月初发布的一份报告中,法国银行建议禁止保险公司、银行与信托公司“参与加密资产活动的存款与贷款业务.
原文阅读时长8分钟:如何在10分钟内免受比特币盗窃如果您不了解保护比特币的最佳做法,那么有很多漏洞导致您的比特币丢失.
在当今的互联网世界,“FAAMG”无疑在对应的领域都是一座难以逾越的高峰,不仅仅推动了互联网的高速发展,并且对于人们生活、工作的方方面面产生了深远的影响.
“不算太糟。” 一个以太坊用户这样描述Parity公司最近为挽回损失所作出的努力,该公司曾因其推出的钱包代码出现漏洞被黑而导致了价值2.64亿美元的以太坊被冻结.