以太坊黑色情人节专题上线
上周二(2018.3.20)我们披露了以太坊生态一个严重安全缺陷,细节可以查看:
中文版:
英文版:
Billions of Tokens Theft Case cause by ETH Ecological Defects
由于这个安全缺陷导致的盗币事件持续了两年之久且到现在还在持续,涉及的金额极其庞大,我们团队为此特意上线了专题页面来进行及时的威胁追踪。
以太坊黑色情人节专题页面:
https://4294967296.io/eth214/
之所以命名这个为“黑色情人节”是因为这次事件的最大钱包地址的第一笔盗币行为发生在 2016/2/14,这天是情人节。
我们希望这种持续的追踪与披露能够让以太坊生态更加的安全,这是我们作为以太坊生态参与者的一份责任。
关于这次事件我们还有一些进一步的观点需要补充下:
我们之所以说这是安全缺陷,而对“漏洞”只字未提的原因是:因为这不是严谨意义上的漏洞,我们更愿意说这是缺陷,而且我们强调了这是以太坊生态安全缺陷,注意是“生态”的“缺陷”。安全得很严谨,否则被滥用可不好。
我们的墨子(MOOZ)系统对全球的比特币等节点进行了探测,并不存在以太坊生态这类安全缺陷。
这个安全缺陷的解决需要以太坊生态的 Geth/Parity 这些节点部署程序的共同改进,至少在节点上不应该存在私钥相关文件,具体解决方案可以参考上述细节链接里的“防御建议”。
由于 web3.js(Ethereum JavaScript API) 生态的存在,节点加认证的解决方案似乎不是个好方案。
我们披露这次事件后,国内外也有其他团队跟进了披露,我们也得到了这个生态不少朋友的帮忙。这些帮忙对我们来说很重要,可以加速整个生态安全的促进。
后续我们会持续追踪,请密切关注我们的动态,包括这次上线的以太坊黑色情人节专题:
https://4294967296.io/eth214/
关于慢雾科技
厦门慢雾科技有限公司,专注区块链生态安全,总部位于厦门,由一支拥有十多年一线网络安全攻防实践的团队创建。团队曾为 Google、微软、W3C、公安部、腾讯、阿里、百度等输出过安全能力,团队多项成果也曾进入过 Black Hat 等全球黑客大会。慢雾科技的核心能力包括:安全审计、防御部署、地下黑客风向标追踪。慢雾科技已经为全球多家交易所、钱包、智能合约等做了安全审计与防御部署,并通过独有的地下黑客风向标追踪引擎,持续为合作公司及国家相关部门提供威胁情报。
慢雾科技官网:https://slowmist.com/