GoPlus 发布“新型预测地址攻击”警报:攻击者利用 create2 特性发起攻击进行套利
ChainCatcher 消息,据官方消息,安全公司 GoPlus 发布“新型预测地址攻击”警报,据悉,攻击者利用 create2 的特性预先计算出合约将要部署的空白地址,然后骗取用户授权,因空白地址可绕过安全公司黑地址标记和安全监测,用户一旦授权,攻击者就会在这个地址部署合约并转走用户资产。
此外,该攻击具备以下攻击特征:
1. create2 是一种可以预测生成合约地址的部署方式,攻击者可以实现先骗授权再部署合约。
2. 由于授权发生时,合约没有被部署,攻击地址是空的 EOA 地址,所以不会被任何检测工具收录,具有极高的隐蔽性。
GoPlus提醒,从源头警惕钓鱼攻击,熟记常用的协议网址或使用浏览器书签来管理官方网址。同时在签名授权中仔细检查授权对象是否为空白(EOA)地址,可能存在较大风险。