此前有一部改編自印度《誤殺瞞天記》的電影《誤殺》上映後受到了廣大用戶的一致好評,其講述了主角在發生誤殺行為後,通過混淆時空、偽造證據等蒙太奇的手法成功掩蓋了犯罪事實。而現實區塊鏈世界中,在發生天價手續費異常轉讓事件之後,不願將真相公之於眾的項目方很可能也在上演一出「誤殺瞞天記」。
(前情提要:胖手指錯誤?星火礦池打包一筆 133 美元的交易,收到「265 萬美元手續費」)
大
上週以太坊鏈上連續發生3起天價手續費轉帳事件,引發業界廣泛的討論和猜測。
其中,0xcdd6a2b 開頭的“神秘”地址兩天時間內僅用兩筆小額轉帳就揮霍掉了3,700萬元,創造了以太坊鏈上史上最高手續費記錄。
PeckShield安全團隊旗下可視化資產追踪平台CoinHolmes,基於已有的超7,000萬+地址標籤,迅速定位到 0xcdd6a2b開頭的地址所屬為某一交易所熱錢包,而且發生兩次異常轉帳的原因很可能是其遭遇了一次駭客精心策劃的GasPrice勒索攻擊。詳情請參看文章《以太坊天價手續費轉帳背後:一場駭客發起的GasPrice勒索攻擊?》
就連以太坊創始人Vitalik 也都發 Twitter 稱,受害者是遭遇了一次勒索攻擊,並且有意在EIP 1559 提案中能減少用戶手動設置費用的必要性,從而降低巨額轉帳費用問題的發生。
延伸閱讀:瘋狂世界|V神: 我們期望幣圈更像股市,但「美股」卻搶先變得比加密貨幣更加密貨幣
延伸閱讀:V神批判 S2F 模型 ! 「比特幣」4 年內將達「288,000 美元」的預測有問題
然而,隨著進一步深究分析發現,問題來了:
1)既然是受害者是一家交易所,手裡握著是廣大用戶的資產,事發後該交易所並沒有發公開聲明向用戶提醒資產安全風險,我們向 Spark Pool 礦池求證過,受害者也不曾向礦池方面請求退還資產。這不太符合常理。
2)在兩次異常轉帳發生後的一兩天內,該交易所地址出現大量提幣需求,超5,000個ETH 被用戶提走,但很快提幣需求就被阻斷,開始又不停有新的入帳進來。
3)現在 0xcdd6a2b開頭的地址上尚有16,810個ETH餘額,而藏於暗處勒索的駭客似乎也停止了進一步作惡,難不成是他們之間已經達成協議了?
事情到此,越來越發有趣且撲朔迷離了。
然而要釐清這個問題,我們必須得進一步查證受害交易所究竟是誰?
延伸閱讀:驚爆!「76 億詐死疑雲」交易所其實是龐氏騙局 ? 用戶資金在破產前已遭創辦人挪用
受害交易所到底是誰?
由於上篇文章只是我們的技術分析和推理,是事實或者不是事實,在我們原本設想中,0xcdd6a2b 開頭的地址都會想辦法跟我們取得聯繫,或者說總該向打包礦池方Spark Pool 和Ethermine 方面討要資金吧,然而,截止目前,該受害交易所尚沒有露出半點蛛絲馬跡。
我們只好從0xcdd6a2b地址關聯的0x12d8012和0xe87fda7開頭的地址為突破口,進一步展開深入搜索和追查。終於,終於,我們發現0xcdd6a2b開頭的地址所屬為一家韓國名為Good Cycle的小型交易所。
為了驗證這一推論的準確性,PeckShield 安全人員註冊了該交易所,並向該交易所提供的0x46d3be 開頭的充值地址,分三筆共計轉入了0.5個ETH,之後這三筆交易被匯聚轉入了0xcdd6a2b 開頭的熱錢包地址(如下圖所示),至此,受害交易所的身份可算是水落石出了。
據Good Cycle官方稱,這是一家剛剛於05月25日上線的韓國小型P2P交易所。
上線半個月以來,該交易所就擁有了用戶量6,151人,交易量6,399次,共計交易額63,187.9674個ETH。之所以如此受歡迎,是因為其參與門檻低,只需要最低100美元就可參與,參與後便可獲得高額的投資回報。
這樣一來,我們疑惑的問題就不難理解了,原來這是一家主打理財龐氏騙局的交易所。
所以,駭客能相對容易地對入侵其服務器系統實施勒索攻擊;
所以,遭到了巨額資產損失,項目方依然“隱忍”著無動於衷;
所以,仍然有不明真相的用戶,繼續做著自己的投資發財夢;
所以,駭客精心策劃的勒索攻擊陰謀,有很大概率是得逞了。
我們從龐氏騙局設計者的視角再回頭看看一切:這損失的區區3,700萬元只能算是出師不利,一個優秀的資金盤項目擁有數億甚至數十億體量都不在話下,眼下最好的策略莫過於接受駭客的勒索談判或者說遮蓋事實,一切待從長計議。
延伸閱讀:大型資金盤 PlusToken 已轉走近 3 萬顆比特幣,交易紀錄留下一句:「抱歉,我們先閃啦」
延伸閱讀:三大冷錢包商被駭?Trezor、Ledger、KeepKey 驚傳逾 8 萬位用戶資料遭拍賣!
事實也果不其然,我們在其官網並沒看到任何關於這兩次異常轉帳事件的解釋,而只是發通知稱將於06月18日,進行系統升級以增強安全性,這,韭菜真好哄騙吶。
Good Cycle 遭駭客勒索攻擊可能性分析
正如以上我們的猜測,駭客的勒索攻擊過程很可能已經完成,該網站存在的代碼漏洞也已做了升級,我們只好繼續以技術推理來復現這次攻擊的可能性實施過程,給廣大吃高級瓜的群眾們腦補下這背後的技術邏輯:
我們分析發現,Good Cycle 交易所網站基於HTTP 協議,並未支持HTTPS 加密協議訪問,因此各種敏感資訊皆以明文傳輸,很容易被駭客輕而易舉實施釣魚、中間人劫持等攻擊:
1)可能攻擊手段之一:用戶在Good Cycle 註冊時的所有資訊都是使用HTTP並明文進行上傳,很容易被人使用攔截工具進行攔截,如果用戶的帳戶密碼及PIN 碼被駭客攔截成功,駭客可以登錄用戶的帳戶進行提現,由於Good Cycle 在登錄及提現時未對帳戶進行二次驗證,從而導致資產丟失。
2)可能攻擊手段之二:每當用戶創建新的帳戶時都會返回一個新的ETH 充值地址,駭客可以對用戶提交的創建地址請求進行攔截並加以更改,將用戶的充值地址改成自己的帳戶,從而導致用戶每次充值都被充值進駭客預先埋伏的帳戶。
3)可能攻擊手段之三:駭客在得到用戶的帳戶密碼後,可以根據代碼中的加密方法得到發送提現請求所需要的各種請求頭,直接發送一個提現的請求並將提現地址改成自己的地址,從而實現對用戶的帳戶進行攻擊。
以上,我們不難看出,Good Cycle 交易所的安全防禦措施極低,縱使是一名很普通的駭客,都很容易找到突破口實施攻擊。當然,也不排除是因為開發人員的低級錯誤有意或無意導致的巨額交易費問題。
但無論是“內憂”還是“外患”,用戶資產受損已成既定事實。PeckShield 在此提醒廣大用戶,應謹慎參與此類安防級別極低的項目,即使其營銷模式再誘人,很可能因為安防風控不到位而遭遇滅頂之災,而要為此付出代價的不是項目方,而是不明真相被蒙在鼓裡的韭菜們。
延伸閱讀:前知名律師事務所合夥人遭判 50 年,為「維卡幣 OneCoin」洗錢賺得 15 億
延伸閱讀:全球性龐氏騙局「維卡幣(OneCoin)」首腦在美國被逮捕,「數十億美元」全都是騙來的
結語
無論是我們推測的駭客GasPrice攻擊已得逞也好,又或者另有其他原因。媒體,公眾,尤其是參與其中的廣大用戶們需要一個解釋:這3,700萬元的損失將由誰來承擔?
很顯然,仍縮在暗處不願意露面的項目方有他們自己的算盤。
但不管怎麼說,如此帶有龐氏騙局性質的項目遲早會有暴雷的一天。PeckShield 安全團隊已經曝光了包括PlusToken、TokenStore、EOS 生態等數十起類似的理財錢包騙局都證實了這一點。
對項目方而言,現在站出來承認錯誤,尋求礦池方的資產退還幫助,退還投資用戶的資產是眼下最好的選擇,倘若項目方仍試圖繼續瞞天過海的話,相信問題只會更加糟糕,因為靠滾雪球的用戶Fomo投入支撐,只會延緩死期,他們遲早會有面臨法律審判的一天。
需要提醒的是,為幫用戶減少損失,我們已跟兩家打包礦池方取得聯繫,其中Ethermine挖礦所得的10,668個ETH已經平分給礦工了,而Spark Pool也將於06月17日將該異常收益平分,留給項目方挽回損失的時間窗口已經不長了。
友情提示:PeckShield目前已經掌握的資訊遠比本篇文章披露的要多,我們正在嘗試和韓國警方交涉,以維持區塊鏈行業本就該有的正義。
相關報導
美國緝毒局眼中的邪惡天才、「中本聰」候選人被捕:要打造前所未有強大的 ASIC 晶片
台灣新創獨角獸夢碎!加密交易所 Cobinhood 正式宣布關閉交易所,6,000 名受害者等待求償
台灣虛擬貨幣 IBCoin 吸金2.5億登上國際舞台,傳銷詐騙手法全揭秘
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
