其他
EOS 假账号安全风险预警
EOS 假账号安全风险预警,慢雾安全团队提醒:如果 EOS 钱包开发者没对节点确认进行严格判断,比如应该至少判断 15 个确认节点才能告诉用户账号创建成功,那么就可能出现假账号攻击。
攻击示意
用户使用某款 EOS 钱包注册账号(比如 aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功
用户立即拿这个账号去某交易所做提现操作
如果这个过程任意环节作恶,都可能再抢注 aaaabbbbcccc 这个账号,导致用户提现到一个已经不是自己账号的账号里
防御建议
轮询节点,返回不可逆区块信息再提示成功,具体技术过程如下:
push_transaction 后会得到 trx_id
请求接口 POST /v1/history/get_transaction
返回参数中 block_num 小于等于 last_irreversible_block 即为不可逆
致谢
火币,输出威胁情报
MORE.TOP 钱包输出防御技术细节
WTF 钱包技术工作组的探讨