ETH投资者请注意:建议不要在以太坊节点存放私钥文件!加密货币市场近期真是祸不单行,这边比特币(BTC)6000美元关口失守,跌至5900美元,那边以太坊(ETH)又爆出漏洞、攻击隐患。
今日,慢雾区披露了新型攻击手法,建议不要再以太坊节点里存放私钥文件。并将攻击手法公布:
1. 以太坊节点的 RPC 接口开放,但是账户没有 ETH。
2. 黑客扫描并发现目标后,立即构造多个交易并签名。
3. 以太坊节点发现问题,关闭 RPC 端口。
4. 以太坊节点认为已经安全,开始往账户转入ETH。
5. 黑客通过程序自动化实时监控发现ETH转入,立即开始广播之前 RPC 开放的时候签名好的信息。
6. 攻击完成。
以太坊被爆出“致命报文”漏洞
28日,在硅谷Blockchain Connect Conference大会现场,区块链安全公司PeckShield披露了一个能够造成以太坊geth节点休克或崩溃的安全漏洞。
PeckShield将披露的漏洞命名为“Ethereum Packet of Death(EPoD)”,即“致命报文”,攻击者通过发送一个恶意报文即可向geth节点发动攻击。geth是以太坊主流的官方客户端,对于以太坊至关重要:有大约70%的节点运行在geth之上,包括交易所和矿池这些关键节点。
通过这个漏洞,攻击者可以直接让以太坊瘫痪。一旦成功,以太坊市场将面临巨震。
目前以太坊geth客户端的相关开发团队已发布了相应的补丁,希望受影响的关键节点能尽快升级,以低于可能发生的攻击和危害。
事实这并不是ETH第一次出现漏洞,当然也不是最后一次,每一个漏洞,都有可能成为定时炸弹。如今随着加密货币市场的快速发展,全球加密货币已经超过2000多种,在这个广阔的市场上,有人看准加密货币,也有人看准背后的区块链生态问题。
从360的“伏尔甘”,再到PeckShield,以及文章开头提到的慢雾区,越来越多的区块链安全团队,出现在我们的视野中,正如PeckShield公司工作人员所说的,“在区块链产业发展初期,安全事件已经频繁暴露在各个环节,包括:交易所、矿池、钱包、智能合约……因此,区块链安全公司在早期区块链生态建设上,起着关键作用。”
这是一个好的现象。
截止到写稿时,ETH报价约为417.80美元