最近,一种新型的攻击方式出现了。币币交易所、钱包等平台对“EOS充值交易确认是否成功”的判断存在缺陷,可能导致严重的“虚假充值”。攻击者可以在不损失任何EOS的情况下,成功向这些平台充值EOS,并且这些EOS可以正常交易。本次EOS假充值攻击与之前的USDT、以太币代币假充值攻击类似,更多的责任应该属于平台。由于这是一种新型的攻击方式,而且攻击已经在发生,相关平台方应尽快进行自查。如果不能完全确定自己的充值验证,应尽快暂停EOS充提。黑客手段:只有想不到,没有不可能2018年以来,黑客频频出现在区块链和加密货币领域盗币,而普遍持有价值数亿美元的加密货币钱包的交易所成为黑客的致命目标。据相关人士统计,2018年交易所被盗的加密货币数量较2017年增长了13倍,每天有270万美元的加密资产被盗,相当于每分钟被盗1860美元。这么多攻击,为什么交易所就防不住呢?事实上,更大的原因可能是他们根本无法阻止。圈内人都知道加密货币市场发展迅速。交易所和许多涉及其他加密货币相关业务的团队没有时间或资源来构建高效和实时的安全解决方案,而交易所通常是技术公司。他们的安全意识通常低于他们必须保护的资产水平,而不是网络安全公司。另一方面,随着加密货币市场规模的扩大,黑客窃取加密货币的经验越来越丰富,其攻击手段也在不断演变,变得越来越复杂。根据以往报告的各种攻击信息,交易所遭受黑客攻击的损失金额达2674885099.52美元,主要包括24起被举报的交易所被盗案件。具体来说,有钓鱼攻击、合约攻击、服务器攻击、网站系统攻击、更换网站地址、窃取交易所钱包等多种攻击方式。此外,据了解,去年黑客还部署了社会工程学等高级攻击手段。盗取他人身份后,冒充他人窃取投资者的加密资产。“假充值”攻击始于2018年6月下旬,一直持续到现在。也是新的攻击手段之一。一开始,部分交易所存在USDT“虚假充值”漏洞,随后以太坊代币也出现了类似问题。虽然Huobi、OKEx、Binance等交易所在通过安全排查后均表示不存在相关“虚假充值”漏洞,但同一种攻击方式在多种币种中轮流出现,足以说明存在安全漏洞的加密货币交易所。面对黑客攻击,交易所如何防御?事实上,面对黑客的各种攻击,交易所其实是防不胜防。“上有政策,下有对策”的法则同样适用于交易所与黑客之间。无论交易所戒备多么严密,黑客总能找到可乘之机。毕竟,以安全着称的联邦储备银行也被朝鲜黑客窃取了。超过8100万美元。只是目前加密货币行业大部分交易所的安全性太差,做不到强有力的安全防护,始终要做好自身能力范围内的安全防护工作。从前面门头沟交易所和优比特交易所因黑客攻击而倒闭的例子来看,对于交易所来说,安全有时是生死攸关的关键。这次的“假充值”漏洞也是如此。虽然直接受害者是交易所,但目前还没有给普通投资者造成直接损失。但是,攻击者通过这种方式获得大量币后,肯定不会冒着被平台发现后冻结账户等待升值的风险。最好的方法是在被发现之前尽快使用它们。这样一来,无论是套现还是通过交易兑换成其他货币,都会对币价产生影响。截至发稿,OKEx和火币均已就EOS“虚假充值”攻击事件做出回应,表示将严格确认所有账户信息的详细信息,不会受到该漏洞的影响。降维安全实验室发现某知名区块链数字货币钱包应用的转账通知机制存在缺陷。它将EOS“假充值”攻击产生的虚假转账交易作为通知推送给钱包用户。如果利用该缺陷进行垃圾广告推广、诈骗等活动,将给钱包用户带来极大的麻烦和风险。总之,交易所的安全无小事。关注安全技术和系统的升级,多做风险排查,及时采取应对措施,总是好的。
