安全團隊:謹防多重簽名假充值

據慢霧區情報,近期有黑客團伙利用m-of-n 多重簽名機制對交易所進行假充值攻擊。慢霧安全團隊分析發現,攻擊者通常使用2-of-3 多簽地址,其中1 個地址為攻擊者在交易所的充值地址(假設為A),2 個地址為攻擊者控制私鑰的地址(假設為B、C),然後發起一筆以這3 個地址構成的多簽做為交易輸出(vout)的交易,此時攻擊者在交易所的充值地址A 雖然收到資金,但是由於花費這筆資金至少需要2 個地址的簽名,攻擊者可利用自己控制的B、C 地址將充值資金轉出。慢霧安全團隊建議交易所,及時對BTC/LTC/DOGE 等基於UTXO 賬號模型的代幣充值流程進行審查,確保已對交易類型進行正確的判別,謹防多重簽名假充值。

Total
0
Shares
Related Posts