知道创宇 404 区块链安全研究团队向链闻透露,通过微软 Azure 云部署的以太坊节点会默认自动安装一个名为「Blockchain Admin」管理程序,在默认情况下这个程序是对外直接开放访问,并且没有任何密码认证措施。攻击者通过该程序功能提交钱包地址和转账数量进行转账。该团队针对此漏洞做了详细的技术分析并第一时间通报给了微软应急响应中心,目前微软 Azure 在相关方案里更新了 Geth,但是针对「Blockchain Admin」管理程序认证缺省访问题认为是设计问题,建议用户限制该程序的访问。同时建议广大的智能合约开发者,尽量慎重使用公有云等自动部署方案,控制敏感权限接口访问权限并时刻关注节点安全更新。