点击图片查看原图
昨日晚间慢雾预警Big Game新上线的代付CPU功能遭受薅羊毛,被恶意利用挖EIDOS;今晨,慢雾再次发布红色预警,攻击者开始利用交易所/DApp的提币功能恶意挖矿,当交易所往攻击者的挖矿合约地址提币时,会触发挖矿逻辑,导致交易所提币钱包的CPU被攻击者利用来挖矿,直至CPU资源耗尽,影响其他正常用户的提币操作。
慢雾在预警中建议交易所/DApp在处理EOS及EOS上Token的提币时,检查用户提币地址是否是合约账号。由于部分交易所的EOS充币钱包也是合约账号(例如huobideposit、binancecleos),因此需要维护一个正常合约账号的白名单,目前慢雾AML团队已经收集了部分此类账号,并通过API开放查询,地址:https://aml.slowmist com/api/eos_exchange_contract_addr
如果其他交易所/DApp的EOS充币钱包也是合约账号但是不在这个白名单中,请将地址发送到慢雾安全团队邮箱team@slowmist com,我们将立即更新。