文:Rudy卢地
昨日,EOS一名原BP候选人(备选节点)得票数上升成为排名前21的超级节点,但没有及时配置完整的账户黑名单,导致原先被冻结的账户内近20万EOS盗币成功被黑客转出,正在逐步转入交易所。
据慢雾科技反洗钱 (AML) 系统监测显示,攻击者利用新任超级节点黑名单不完整的缺陷,将黑名单账号 craigspys211 内 19.999 万枚 EOS 转入 eosusswallet,然后逐步递归创建小号,现在正逐步将分散在 41 个小号内的 EOS 转向 ChangeNow 交易平台。
由于超级节点的疏忽,攻击者的不正当盈利即将得逞,原冻结20万EOS进入流通盘。
什么是黑名单?
EOS的黑名单功能可以令超级节点忽略黑名单内账户发出的任何交易,可以有效保护被黑客攻击的账户的资金不被继续挪动,让被盗的资产有机会先做冻结处理,为下一步追回被盗资产增加可能性。
但黑名单功能要想 100% 生效,必须让21个超级节点全部完整配置;否则,在没有配置黑名单的超级节点出块时,黑名单内账户利用其漏洞依然可以交易。
显然,排名上升而新加入的EOS超级节点没有及时做好应有的准备,被黑客钻了空子。
今年Staking话题火热,新入场者日益增多,而EOS作为当下PoS公链中市值最高的项目,无疑受到了极为热烈的关注,也是各方力争的主要“战场”。自今年8月以来,EOS21名超级节点一直处于剧烈的动态变化之中,超级节点的得票量门槛不断攀升,8月时门槛为1.5亿票左右,如今已超过2.6亿票,整整提升1亿票之多令人咂舌。
但我们可以从此次事件中得到警示,各公链的节点首先应承担稳定运行公链、保障公链安全的本分义务,节点在关注、竞争得票数之前务必先完成公链对节点的基本要求,做好技术上的充足准备。
Tezos、Cosmos等公链设置有对节点的Slash也即惩罚机制,用以惩罚节点的不正当、不尽责的行为。EOS尚没有加入此类机制,好在投票行为是去中心化的,当出块节点失职而不再受持币人认可,持币人可以通过撤票的方式将其投出出块节点序列。
截止目前,因黑名单疏忽而造成盗币转出的始作俑者,由于得票数下降已经跌出前21超级节点序列。
网友评论