RPC攻击借“链”还魂 小蚁币持有者警惕盗币风险

随着区块链技术的快速发展，此前数字交易货币呈现爆发式增长，但自11月下旬以来，受多种因素影响导致数字货币市价“跌跌”不休，令整个币圈苦不堪言。近日，腾讯安全湛泸实验室发布安全预警，披露著名的区块链项目NEO存在远程盗币风险，用户在利用默认配置启动带有RPC功能NEO网络节点并启用钱包时，其货币账户极可能遭受远程盗币风险，严重威胁小蚁币用户的数字资产安全。

目前，腾讯安全湛泸实验室已将该漏洞上报国家互联网应急中心（CNCERT）建立的国家信息安全漏洞共享平台（CNVD）。同时，湛泸实验室提醒NEO节点维护者及“小蚁币”持有者，需密切关注钱包安全，及时更新客户端版本，注意异常转账行为。

（图：CNVD漏洞处置进展）

12月初，湛泸实验室研究团队发现，NEO区块链neo-cli客户端在缺省情况下将RPC接口直接绑定到了0.0.0.0地址，从而导致了RPC接口的对外暴露。以存在安全问题的v2.9.0版本为例，在使用neo-cli–rpc命令启动节点时，默认配置将SSL相关配置设置为空字符串，使得整个JSON-RPC接口底层基于Http而非Https实现，缺少了对于RPC调用者的身份验证。

实际上，在v2.9.0及其之前版本，并没有提供配置RPC接口绑定IP地址的方式，只要开启了RPC功能，就会被绑定到0.0.0.0地址；而之后的版本中，开发者增加了新的RPC配置项BindAddress，其默认配置为127.0.0.1，以此确保其接口安全性。但如果节点配置人员修改了该选项为0.0.0.0或其公网IP地址，也将使其面临着RPC攻击的威胁。

值得注意的是，由于neo-cli并未设置钱包自动关闭时间窗口，用户的钱包在打开之后会长期处于开启状态，这样给不法分子创造了最佳攻击契机。攻击者依次调用listaddress和getaccountstate接口即可获知目标节点所维护的钱包及账户资产信息，例如调用dumpprivkey窃取受害者的私钥、调用sendXXX窃取数字货币、以及调用invokeXXX以受害者身份调用NEO上的智能合约。

同时，腾讯安全湛泸实验室对于其网络规模及存在安全风险的节点进行了扫描检测。研究人员基于NEO节点P2P通信协议实现的网络节点探测接口发现了公网范围内的NEO节点，而后对这些节点的默认RPC端口进行了扫描，分析发现有13.6%的节点暴露了其RPC接口，响应了研究人员发送的获取节点版本信息的RPC请求。另外在两天时间的观察期内还发现，暴露RPC接口的节点中有将近13.1%的节点会开启钱包，导致面临钱包信息泄露风险。

针对目前暴露的区块链RPC攻击问题，腾讯安全湛泸实验室安全研究员王凯分别从NEO节点维护者和neo-cli开发者角度提出具体安全建议。他建议NEO节点维护者，尽快升级到最高版本的neo-cli客户端程序；避免使用远程RPC功能，修改配置文件中BindAddress的地址为127.0.0.1；如有特殊需求，使用远程RPC功能建议采取修改RPC端口号、启用基于Https的JSON-RPC接口、设置防火墙策略等方式保障节点安全。

对于neo-cli的开发者，王凯建议，尽快通知其社区成员及节点维护者完成客户端更新；完全废弃基于Http的JSON-RPC功能，以Https为底层协议；修改代码逻辑，将钱包的“打开-操作-关闭”作为一个互斥的原子性事务进行处理，从而确保账户的安全敏感窗口期不被攻击者所利用。

目前，腾讯安全湛泸实验室推出的研究手法同样适用于其他区块链网络节点的RPC安全问题。在CSS2018腾讯安全探索论坛上，王凯曾指出位于以太网主网中的安全脆弱节点已成为攻击者的目标，且以太坊RPC接口攻击主要存在“数字货币窃取”、“账户暴力破解”和“丢失挖矿奖励”三大攻击手段。对此，他表示，区块链团队将持续提升蜜罐设计的合理性以及捕获相应攻击行为的能力，提供威胁情报、攻击溯源和态势感知等需求提供及时真实和详实的数据支持，避免数字虚拟币钱包被盗等事件发生。