独家揭秘以太坊JSON-RPC接口最新攻击方式“拾荒攻击”

继8月1日知道创宇404区块链安全研究团队对外披露了以太坊JSON-RPC接口“后偷渡时代”的三种盗币方式：“离线攻击”、“重放攻击”及“爆破攻击”后（ https://paper.seebug.org/656/）,再次捕获到黑客针对以太坊JSON-RPC接口最新攻击方式：“拾荒攻击”[1]。攻击者或求助于矿工，或本身拥有一定算力以获得将交易打包进区块的权利，并通过构造0 gasPrice最终获取到余额不足以支付转账手续费或勉强足够支付手续费节点上的所有以太币或代币。

经统计，从2017年6月起，陆续有748个账户总计24.2eth被零手续费转账，诸多被攻击账户的以太币和代币目前仍有黑客积极利用“拾荒攻击”进行攻击。从知道创宇404区块链安全研究团队部署的全球节点蜜罐监测结果显示，黑客针对以太坊JSON-RPC进行盗币攻击一直在持续，我们再次建议广大注意安全防御。

详细报告地址(https://paper.seebug.org/663/)