昨天看到EOS nation的群里发了个通知,vaults.sx/flash.sx被盗了1,180,142.5653 EOS和461,796.8968 USDT,好吧,小数点有点多,我数了一下,大概是118WEOS和46W USDT。按当前行情,折合人民币大概约8500W人民币。
(图源 :pixabay)
然后EOS Nation宣称提供10W USDT的赏金给白帽黑客,感谢黑客识别出flash.sx的漏洞,前提是黑客归还盗走的EOS和USDT。
也不知道黑客有没有看到这个悬赏,或者黑客觉得相比于10W USDT的赏金,盗走的资金折合1300W USDT显然更香,所以不想归还。
黑客开始不断循环创建新账户并将盗走的资金从两个最初的账户(aquudqdmxesw &potghpfcmocs) 分散转移到新账户中。这也是黑客的惯用伎俩啦,不然直接进交易所容易被交易所堵住。
然后就是黑客创建了无数个账户,每个账户放了5000 EOS,下一步估计就是进交易所洗一洗,然后就可以换成真金白银了,估计黑客此时心里美滋滋的。
说到这里,熟悉EOS的朋友可能会想到EOS的一个机制——黑名单,如果所有的出块BP都把上述账户加到黑名单中,让他们无法操作,那么这些钱就会被“锁定”到黑客的账户中,光能看没法吃。
不过让所有出块BP同时去加黑名单显然是个不现实的事情,甚至有些BP除了出块已经万事不管了。另外经历过几次黑名单中的账户逃逸事件,大家都黑名单制度都有一些诟病了。
还有就是,把长长的一串账户加到BP的配置文件中,显然会影响BP的性能,反正不是自己丢钱,BP们维护黑名单的意愿大概没那么强烈。
然后,亮点来了,EOS Nation联合一部分超级节点,通过多签直接把黑客的一系列账户的权限都设置为active@eosio:
这显然比黑名单更容易操作和维护,并且时效性会比较好。也不用担心像黑名单那样以后有新进超级BP忘记配置黑名单导致黑名单账户逃逸。
至此,黑客这些账户相当于都被超级节点的多签冻结了。EOS nation在自己的官网以及微信群中发布了通知:
对于黑客而言,大概是竹篮打水一场空了,估计此时有可能再拍大腿,不如当时拿10W美金的赏金好了,或者跑得再迅速一些,通过小所洗掉。
(图源 :pixabay)
另外,BP们这个操作也引发了一些关于去中心化的讨论,这次是EOS Nation的合约被盗,作为排名超级靠前的超级节点,和其它BP的关系都是很铁的,所以响应起来非常迅速。如果是普通项目方合约被盗,还能使用这样的方式锁定或者找回吗?还能这样迅速吗?