点击图片查看原图
昨日晚间慢雾预警 Big Game 新上线的代付 CPU 功能遭受薅羊毛,被恶意利用挖 EIDOS;今晨,慢雾再次发布红色预警,攻击者开始利用交易所 /DApp 的提币功能恶意挖矿,当交易所往攻击者的挖矿合约地址提币时,会触发挖矿逻辑,导致交易所提币钱包的 CPU 被攻击者利用来挖矿,直至 CPU 资源耗尽,影响其他正常用户的提币操作。慢雾在预警中建议交易所 /DApp 在处理 EOS 及 EOS 上 Token 的提币时,检查用户提币地址是否是合约账号。由于部分交易所的 EOS 充币钱包也是合约账号(例如 huobideposit、binancecleos),因此需要维护一个正常合约账号的白名单,目前慢雾 AML 团队已经收集了部分此类账号,并通过 API 开放查询。如果其他交易所 /DApp 的 EOS 充币钱包也是合约账号但是不在这个白名单中,请将地址发送到慢雾安全团队邮箱 team@slowmist com,慢雾将立即更新。
来源链接