Safeheron 安全提醒:UTXO 多签机制可用于发起对 Blockbook 的假充值攻击,请注意排查风险
2022-04-08
最后更新于
2022-04-08
最后更新于
By Safeheron 安全团队
继昨日慢雾安全团队披露的 UTXO 多签机制可被用于发起对交易所的假充值攻击之后,Safeheron 团队对相关细节进一步跟踪,发现了新的威胁情报,知名开源中间件 Blockbook (Trezor 开源产品) 也受此特性影响。
Safeheron 发现 Blockbook 获取交易数据接口返回结果中对 MultiSig 类型交易展示不完善,如果 output 为 MultiSig 脚本,则 Blockbook 将会选择脚本中最后一个地址展示,和普通地址交易无法区分 。
如果交易所、钱包客户端或者其它中心化服务仅根据 Blockbook 返回结果进行入账判断,将会造成误判导致假充值。目前已知可能受此多签特性影响的代币有 BTC、LTC、DOGE、BCH、BSV、BHD、CPU、DFI、BTCV、BXC、ZCL。
Safeheron 建议相关运营方注意排查风险。
