5月15日BCH升級遭到攻擊,慢霧安全團隊及時跟進,并在社區里注意到相關分析工作,通過交流將此分析文完整轉載于此。這是一場真實攻擊,從行為上分析來看確實預謀已久,但BCH響應很及時,成功化解了一場安全危機。
BCH的5月15日升級遭到攻擊,導致節點報出toomanysigops錯誤。經分析,攻擊載荷為一個精確構造的P2SHTransaction,利用了BCH去年11月升級引入的OP_CHECKDATASIG操作碼。
攻擊導致了礦工節點無法打包,BCH方面通過類似于空塊攻擊的方式,緊急挖出十個空塊以觸發滾動檢查點保證升級。攻擊發生約1小時后,BCH礦池上線緊急修復后的代碼成功繼續出塊。
BTC 24小時跌0.63% 現報5292USDT BCH 24小時漲3.37%:據MXC抹茶行情數據,截至2020年3月14日10時,BTC 24小時跌0.63%,現報5292USDT,ETH 24小時跌0.91%,現報122.89USDT,EOS 24小時漲0.7%,現報2.02USDT,BCH 24小時漲3.37%,現報178.95USDT, BSV 24小時漲0.54%,現報121.76USDT, LTC 24小時跌0.69%,現報35.75USDT,XRP 24小時跌0.86%,現報0.15USDT;ETC 24小時漲0.1%,現報4.95USDT。
ETC作為2020年首個減產項目,預計將于本周二(3月17日)下午15時左右迎來減產,區塊獎勵將于4個降低為3.2個,減產幅度為20%。(以上觀點不構成投資意見,注意投資風險)[2020/3/16]
不過同時也有人觀察到,在582698區塊高度,有礦工挖出了哈希結尾為6bf418af的區塊,大小139369字節。但隨后該區塊被10分鐘后BTC
BCH在2分鐘內漲幅超過1.00%:據火幣全球站數據顯示,BCH/USDT在2分鐘內出現劇烈波動,漲超1.00%,達到1.41%。當前報價為 174.88 美元,行情波動較大,請注意風險控制。[2020/3/16]
補丁位置:https://reviews.bitcoinabc.org/D3053
https://github.com/Bitcoin-ABC/bitcoin-abc/blob/f27da0752c0a3b7382df54a65ca3cf1c3629aad4/hide/validation.cpp#L592
行情丨BCH在5分鐘內漲幅超過1.50%:據火幣全球站數據顯示,BCH/BTC在5分鐘內出現劇烈波動,漲超1.50%,達到1.71%。當前報價為 232.34 美元,行情波動較大,請注意風險控制。[2019/10/7]
//原代碼int64_tnSigOpsCount=GetTransactionSigOpCount(tx,view,STANDARD_SCRIPT_VERIFY_FLAGS);//補丁代碼int64_tnSigOpsCount=GetTransactionSigOpCount(tx,view,STANDARD_CHECKDATASIG_VERIFY_FLAGS);
可見原代碼組塊過程中在計算Transaction中的SigOP數量時,錯誤地使用了STANDARD_SCRIPT_VERIFY_FLAGS,而非STANDARD_CHECKDATASIG_VERIFY_FLAGS。
在policy中我們可以找到他們。
https://github.com/Bitcoin-ABC/bitcoin-abc/blob/f27da0752c0a3b7382df54a65ca3cf1c3629aad4/hide/policy/policy.h#L108
staticconstuint32_tSTANDARD_CHECKDATASIG_VERIFY_FLAGS=STANDARD_SCRIPT_VERIFY_FLAGS|SCRIPT_ENABLE_CHECKDATASIG;
所以我們可以見到,當僅使用了STANDARD_SCRIPT_VERIFY_FLAGS時,計算腳本中SigOP數量時,是不包含OP_CHECKDATASIG的。所以這個包含20010個SigOP的攻擊載荷,在組塊時,統計出來的SigOP數量為零。
總結
攻擊者利用了BCH引入OP_CHECKDATASIG時產生的,又未完全修復的漏洞,巧妙地構造了攻擊載荷。攻擊者應該高度了解客戶端代碼,并熟悉OP_CHECKDATASIG漏洞。
近日,區塊鏈安全公司PeckShield向鏈聞透露:多個已經在主流交易所上線的ERC20幣種的智能合約代碼存在嚴重的安全隱患,「攻擊者」可通過公開的接口,以「零成本」技術手段實施割韭菜套利行為.
1900/1/1 0:00:00火星財經APP一線報道,5月20日,Bibox官方推特發布消息稱,Bibox歐洲將持牌上線。Bibox聯合創始人AriesWang在Medium中表示,Bibox歐洲是一家接受全面監管的創新區塊.
1900/1/1 0:00:00上周,一名惡意的礦工成功地對比特幣黃金網絡進行了雙重攻擊,使BTG至少在這段時間內受到網絡攻擊.
1900/1/1 0:00:00據TokenGazer數據顯示,截止至5月22日11時,以太坊價格為$256.17,交易量為$10,150.1M,總市值為$27,238.78M,期貨方面.
1900/1/1 0:00:00誰說區塊鏈公司都是空中樓閣,或者只能和政府玩著貓鼠游戲才能生存?就有這么一家區塊鏈公司,口碑頗好,運營穩健,創立6年,客戶超過1000萬人,日均新增用戶10萬人.
1900/1/1 0:00:00智能合約能解決諸多問題,但它們本身卻似乎問題纏身。EOS中存在的RAM致命漏洞和原因一度成為幣圈頭條,一周后,一家代碼審核公司揭示了智能合約中普通存在漏洞的現象.
1900/1/1 0:00:00