Claymore Dual Miner 是一款非常流行的支持多种代币的挖矿软件(https://github.com/nanopool/Claymore-Dual-Miner ),知道创宇 404 区块链安全研究团队注意到该程序2017年11月被爆过高危安全漏洞导致远程任意文件读写漏洞(CVE-2017-16929),并在近期(2018年2月)再次被爆高危远程代码执行漏洞(CVE-2018-1000049),并公布了漏洞细节及攻击程序。
从监控结果可以看出目前有黑客积极利用该漏洞密集批量入侵矿机行为,入侵后将替换矿池和钱包地址实现盗币,知道创宇 404 区块链安全研究团队已经积极跟进并再次提醒矿友注意矿机安全。
上文提及的2个CVE漏洞(CVE-2017-16929/CVE-2018-1000049)从公布的exp来看CVE-2017-16929主要是利用miner_getfile/miner_file来读写任意文件,而CVE-2018-1000049利用了miner_reboot执行reboot.bat实现命令执行,而reboot.bat里的命令通过了前面的miner_file来实现。
从实际利用角度来看,「可能」早在2017年3月就有利用的相关信息:
https://bitcointalk.org/index.php?topic=1433925.8685;imode,并且我们注意到在2017年12月就有人在github的相关issues报告中 https://github.com/nanopool/Claymore-Dual-Miner/issues/156有所提及,而这个(前一个链接)利用说明攻击者也是通过覆盖reboot.bat/reboot.sh实现命令执行。
这个案例告诉我们区块链代币黑产对相关漏洞的敏感度及利用执行力都要比传统黑产利用要强,甚至很多时候还走在安全研究及安全防御的前面。这可能也跟区块链货币的匿名追踪溯源难有关系,可见区块链安全已刻不容缓!
区块链智能合约安全服务
