客服QQ:872490018

EOS 假账号安全风险预警

EOS 假账号安全风险预警-碳链


EOS 假账号安全风险预警,慢雾安全团队提醒:如果 EOS 钱包开发者没对节点确认进行严格判断,比如应该至少判断 15 个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。


攻击示意


  1. 用户使用某款 EOS 钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功

  2. 用户立即拿这个账号去某交易所做提现操作

  3. 如果这个过程任意环节作恶,都可能再抢注 aaaabbbbcccc 这个账号,导致用户提现到一个已经不是自己账号的账号里


防御建议

      

轮询节点,返回不可逆区块信息再提示成功,具体技术过程如下


  1. push_transaction 后会得到 trx_id

  2. 请求接口 POST  /v1/history/get_transaction

  3. 返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆


致谢


火币,输出威胁情报

MORE.TOP 钱包输出防御技术细节

WTF 钱包技术工作组的探讨


EOS 假账号安全风险预警-碳链

*文章为作者独立观点,不代表碳链立场
本文由 慢雾科技 授权 碳链 发表,并经碳链编辑。转载此文章须经作者同意,并请附上出处(碳链)及本页链接。原文链接http://www.itanlian.com/chainnews/2443.html
发表评论
坐等沙发
相关文章
两会热议区块链,这些提案你要知道!
两会热议区块链,这些提案你要知道!
数据要素价值凸显,区块链应用正当时 | 陀螺研究院
数据要素价值凸显,区块链应用正当时 | …
区块链产业发展全国两会受热议 20余位代表委员提交相关建议
区块链产业发展全国两会受热议 20余位代…
陀螺产业区块链案例库第一季最终集 | 杭州互联网公证处知识产权服务平台
陀螺产业区块链案例库第一季最终集 | 杭…
重磅!“陀螺号首期原创扶持计划”获奖名单出炉!
重磅!“陀螺号首期原创扶持计划”获奖名…
「陀螺公开课」正式上线,打造专注区块链教育的视频精品课
「陀螺公开课」正式上线,打造专注区块…
慢雾科技
SlowMist-Team 作者
我还没有学会写个人说明!
  • 文章

    110

  • 评论

    0

广告赞助