聽起來是趣聞,講起來是笑談。如你所見,我們所處的區塊鏈產業總是存在各種八卦和趣聞,尤其是在當前行情橫盤,市場情緒低迷的情況下。不過有的八卦,大家看著熱鬧,背後的門道卻看得明明白白,比如某著名交易所和礦機廠商的各種恩怨情仇等。
然而,圈內有一另一種大家都津津樂道的趣聞,表面上看著簡單,但其背後的真相卻很難探究明白。
2019 年 02 月 19 日,以太坊鏈上惊現一筆只有 0.1 ETH 的交易,然而交易者卻給出了高達 2,100 個 ETH 的手續費,按當時 ETH 969 元一枚計算,該筆意外操作,讓打包這筆交易的礦工意外收穫了約 200 萬人民幣。
延伸閱讀:胖手指錯誤?星火礦池打包一筆 133 美元的交易,收到「265 萬美元手續費」
延伸閱讀:以太坊 2.0 即將上線!我的「以太幣 ETH」該何去何從?
無獨有偶,這兩天,類似的劇情再度上演,且比上一次更加瘋狂且魔幻:
06 月 10 日下午 17:47 分,0xcdd6a2b 開頭的地址向 0x12d8012 開頭的地址轉了 0.55 枚 ETH,然而轉帳交易費卻高達 10,668.73185個 ETH;
06 月 11日上午 11:30 分,0xcdd6a2b 開頭的地址再一次向 0xe87fda7 開頭的地址轉了 350 枚 ETH,轉帳交易費同樣高達 10,668.73185個 ETH;
這一波操作下來,0xcdd6a2b 開頭的地址竟在一天之內揮霍了 522 萬美元,合計人民幣約 3,700 萬元。
延伸閱讀:PeckShield 資安月報|5月共發生安全事件 23 起,Filecoin 代碼中存在嚴重漏洞
意外轉帳的 3 種常規性可能
這不禁讓廣大看客一下子懵了。
我們不妨先以吃瓜群眾的視角簡單剖析一下,發生這種意外的幾種可能性:
番外主題 1)——「土豪人傻錢多篇」:任性土豪轉帳的時候手抖了一下,噢,是兩下,區區幾千萬而已,不足掛齒;
番外主題 2)——「大佬普度眾生篇」:神秘骨灰級幣圈大佬,在行情低迷之際給大家發放安撫補貼,向默默為區塊鏈社區做出卓越貢獻的礦工們隨機發放紅包激勵;
番外主題 3)——「機構暗黑洗錢篇」:某隱秘洗錢集團,拉攏並「收買」若干礦池實施非法洗錢操作;
以上三種可能性,是普通人都能想到的,但深究一下其可能性其實並不大。前兩種就不用說了,在這個處處皆陷阱,人人皆韭菜的圈子內,我心已木,不太也不願相信有這種可能性了。
至於第三種可能就更有點天方夜譚了。我們發現打包這兩筆異常交易的礦池分別為 Spark Pool 和 Ethermine,這兩家礦池目前算力佔比分別為 30.02% 和 21.43%。也就是說,收買單一礦池最大可實現的贏面僅有 1/3,而要保證洗錢成功率在 99% 以上,該洗錢機構必須要同時收買 10 家礦池以上。這在當下穩固的礦業產業共識下顯然是癡人說夢,是絕對不可能發生的事兒。
延伸閱讀:PeckShield 資安報告:4月共發生安全事件 15 起,DeFi 安全敲響產業警鐘
延伸閱讀:高調炫富到發文求助!一比特幣富豪 SIM 卡被駭,「13.7億」的 BTC BCH 遭竊引市場恐慌
一場駭客發起的 GasPrice 勒索攻擊?
撇開吃瓜層面的 3 種猜想,我們不妨從專業角度來梳理下,這連續發生的兩件異常轉帳行為背後,究竟藏著什麼貓膩?
PeckShield 安全團隊旗下可視化資產追蹤平台 CoinHolmes 基於已有的超 7,000 萬地址標籤和專業的溯源追蹤工具深入分析發現:
一、我們得先弄明白 0xcdd6a2b 開頭的地址是誰?
經分析,該地址存在大量的進帳和出帳,且向上追溯一層地址發現都是一些小額的地址且和該地址發生交互後都被清空,CoinHolmes 團隊初步分析認為,該地址極有可能是某一交易所的熱錢包地址,其鏈上行為特徵和我們認定的交易所熱錢包地址特徵高度匹配。這意味著,這滑稽的事情背後藏著的並非神秘土豪的任性一笑,卻可能是廣大無辜韭菜們的無奈哀嚎。
二、既然目標地址是交易所,為何會無故揮霍巨額資產呢?
尤其是在當下中小交易所生存處境都步履維艱的情況下,出現這種自殺式作秀行為實在弔詭,只有一種可能,除非該交易所主體遭到了駭客劫持。
在聯想到這種可能之後,我們發現該異常轉帳故事似乎有了一種更高度合理化的劇情:
1)某主體為交易所的地址被駭客以釣魚等方式實施了攻擊,其部分權限被駭客捕獲,比如:伺服器管理權限等
2)由於該交易所私鑰存在多簽驗證等可能性,因此黑客儘管掌握了伺服器帳戶權限,卻無法完全控制私鑰將巨額資產轉給自己
3)但駭客卻發現其已有權限可以向該地址授權的白名單轉帳,於是駭客才有可能在權限不齊的情況下,實現兩次轉帳
4)不僅如此,駭客還發現其可以控制 GasPrice 權限,所以其拿不走這筆資產卻可以想辦法將其揮霍完
5)於是駭客發出兩次異常轉帳,向該交易所發起了勒索。潛台詞是如若交易所不通過其他方式給予駭客一定的贖金,駭客將會進一步把錢揮霍完(目前該地址還剩 2.1 萬個 ETH)
6)由於該交易所的伺服器權限被控制,使得其無法正常使用私鑰權限,故而眼睜睜看著帳戶錢被動了,卻沒辦法將剩餘的錢轉出及時止損
至此,我們可以推測這兩次異常轉帳行為的背後真相是:一場駭客向交易所發起的 GasPrice 勒索攻擊。
需要提醒的是,受害者大可不必掉入駭客設計的勒索陷阱。
就以去年 2 月份發生的 2,100 個 ETH 手續費轉帳事件為例,其最終結果是,打包礦池 Spark Pool 最終和轉帳方達成了退還協議。我們認為,當務之急,受害者應該及時和打包交易的礦池方取得聯繫,在證明其存在被裹挾事實之後,相信礦池方面會給出一個較為合理的後續處理方案。
結語
以上,只是我們基於鏈上數據和已有地址標籤庫綜合推演出的一種可能性結果,我們還正在對相關地址進行進一步分析、追蹤和調查,同時也在協同礦池方面來探尋事情背後的真相。最後,需要特別聲明的是,我們不能保證該推演的百分百精確,但倘若存在一絲可能性的話,該勒索事件正在發生,且還可能存在進一步的危害,在此敬請受害者及時和我們取得聯繫,以便事情真相盡快水落石出。我們相信合眾生態合作夥伴之力,事情能有個相對樂觀的結果。
📍相關報導📍
星火礦池找到「2100顆 ETH 礦工費」的神秘交易者,並退回一半費用
獲利高達 3600 萬! 韓國 N 號房主嫌恐有共犯用「混幣器」洗錢 2000 顆 ETH
資安報告|DeFi 樂高下的米蘭諾鬆塔:Uniswap 和 Lendf.Me 遭駭始末
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務