以太坊天價手續費轉賬背后：一場黑客發起的 GasPrice 勒索攻擊？_以太坊

撰文：PeckShield

聽起來是趣聞，講起來是笑談。如你所見，我們所處的區塊鏈行業總是存在各種八卦和趣聞，尤其是在當前行情橫盤，市場情緒低迷的情況下。不過有的八卦，大家看著熱鬧，背后的門道卻看得明明白白，比如某著名交易所和礦機廠商的各種恩怨情仇等。

然而，圈內有一另一種大家都津津樂道的趣聞，表面上看著簡單，但其背后的真相卻很難探究明白。

2019年02月19日，以太坊鏈上驚現一筆只有0.1ETH的交易，然而交易者卻給出了高達2,100個ETH的手續費，按當時ETH969元一枚計算，該筆意外操作，讓打包這筆交易的礦工意外收獲了約200萬人民幣。

Deribit上以太坊永續期貨合約交易量（24H）達3年低點:8月13日消息，Glassnode數據顯示，Deribit上以太坊永續期貨合約交易量（24小時）剛剛達到3年低點14,964,481美元，之前的三年低點是在2020年10月18日，為16,242,048.60美元。[2023/8/13 16:23:02]

無獨有偶，這兩天，類似的劇情再度上演，且比上一次更加瘋狂且魔幻：

06月10日下午17:47分，0xcdd6a2b開頭的地址向0x12d8012開頭的地址轉了0.55枚ETH，然而轉賬交易費卻高達10,668.73185個ETH；

06月11日上午11:30分，0xcdd6a2b開頭的地址再一次向0xe87fda7開頭的地址轉了350枚ETH，轉賬交易費同樣高達10,668.73185個ETH；

韓國農協銀行完成CBDC模擬測試，其區塊鏈平臺集合以太坊和Hyperledger技術:8月17日消息，韓國農協銀行宣布已完成央行數字貨幣（CBDC）模擬測試，并計劃在年底前利用所建區塊鏈平臺驗證各種數字資產相關商業模式，如 NFT 、Stablecoin（Nonghyup Bank Digital Currency，NHDC）和多資產電子錢包。

報道指出，農協銀行建立的區塊鏈平臺是結合以太坊和 Hyperledger 技術，確保了區塊鏈技術的可擴展性和靈活性。（韓聯社）[2022/8/17 12:31:15]

CoinWind將于7月20日20:00(SGT)部署至ETH以太坊鏈:據官方消息，DeFi智能單幣質押金融平臺CoinWind將于7月20日20:00（SGT）正式部署至ETH以太坊鏈，首批將會開放ETH、WBTC、USDC、USDT的單幣質押。

據了解，CoinWind是一個DeFi智能質押金融平臺，通過合約自動將質押的幣種進行撮合配對，配合對沖無常損失策略，將用戶收益最大化，有效解決了用戶單幣種質押收益低、LP質押無常損失大等風險問題。[2021/7/19 1:02:01]

這一波騷操作下來，0xcdd6a2b開頭的地址竟在一天之內揮霍了522萬美元，合計人民幣約3,700萬元。

意外轉賬的3種常規性可能

這不禁讓廣大看客一下子懵了。

我們不妨先以吃瓜群眾的視角簡單剖析一下，發生這種意外的幾種可能性：

基于0.12規范的更正式以太坊2.0多客戶端測試網有望在6月份發布:一個以太坊2.0開發人員的調用顯示，Schlesi 測試網非常成功，有望在6月份發布一個基于0.12規范的更正式的多客戶端測試網。現在，以太坊2.0的開發幾乎完全是為了修復bug，團隊試圖將所有現有的客戶端同步到區塊鏈的一個版本中。5月14日舉行的以太坊2.0實現者調用的后續報告顯示，大部分工作致力于修復代碼錯誤和改進檢測方法。對于后者，Sigma Prime的開發人員Mehdi Zerouali報告了在設計“模糊”技術方面的重大進展，這種技術會向程序提供虛假數據，以找出程序的漏洞。Sigma Prime分析已經幫助發現了以太坊2.0客戶端軟件和它們所依賴的庫中的一些低級錯誤。具體來說，分析人員在Teku客戶端中發現了一個無限循環錯誤，在Nimbus中發現了一個內存分割錯誤。

由于客戶端負責保存和驗證區塊鏈，因此它們之間的完全同步是非常重要的。對于以太坊2.0，有7個獨立的客戶機正在開發中。他們中的大多數人正在為Schlesi測試網進行優化，Schlesi測試網是第一個模擬主網環境的多客戶端以太坊2.0測試網。Schlesi 測試網計劃的負責人Afri Schoedon解釋說，該網絡有一個艱難的開始。bug阻止了第一次啟動，一旦修復，由于客戶端經常崩潰，事務最終結果“很糟糕”。 但是Schoedon贊揚了客戶端開發人員在修復這些問題時的響應能力，這使得網絡得以穩定。Schoedon補充道:“我將謹慎地將2020年6月作為發布日期。”不過他也指出，這在很大程度上取決于0.12客戶端的發布。（Cointelegraph）[2020/5/15]

番外主題1）——「土豪人傻錢多篇」：任性土豪轉賬的時候手抖了一下，噢，是兩下，區區幾千萬而已，不足掛齒；

動態 | 當前以太坊未確認交易數為49082筆:據Etherscan.io數據顯示，當前以太坊未確認交易數為49082筆。以太坊全網算力為180.21TH/s，當前挖礦難度2275.43TH，交易處理能力6.4TPS。[2019/8/5]

番外主題2）——「大佬普度眾生篇」：神秘骨灰級幣圈大佬，在行情低迷之際給大家發放安撫補貼，向默默為區塊鏈社區做出卓越貢獻的礦工們隨機發放紅包激勵；

番外主題3）——「機構暗黑洗錢篇」：某隱秘洗錢集團，拉攏并「收買」若干礦池實施非法洗錢操作；

以上三種可能性，是普通人都能想到的，但深究一下其可能性其實并不大。前兩種就不用說了，在這個處處皆陷阱，人人皆韭菜的圈子內，我心已木，不太也不愿相信有這種可能性了。

以太坊礦池算力分布情況，來源：Etherscan

至于第三種可能就更有點天方夜譚了。我們發現打包這兩筆異常交易的礦池分別為SparkPool和Ethermine，這兩家礦池目前算力占比分別為30.02%和21.43%。也就是說，收買單一礦池最大可實現的贏面僅有1/3，而要保證洗錢成功率在99%以上，該洗錢機構必須要同時收買10家礦池以上。這在當下穩固的礦業行業共識下顯然是癡人說夢，是絕對不可能發生的事兒。

一場黑客發起的GasPrice勒索攻擊？

撇開吃瓜層面的3種猜想，我們不妨從專業角度來梳理下，這連續發生的兩件異常轉賬行為背后，究竟藏著什么貓膩？

PeckShield安全團隊旗下可視化資產追蹤平臺CoinHolmes基于已有的超7,000萬地址標簽和專業的溯源追蹤工具深入分析發現：

我們得先弄明白0xcdd6a2b開頭的地址是誰？經分析，該地址存在大量的進賬和出賬，且向上追溯一層地址發現都是一些小額的地址且和該地址發生交互后都被清空，CoinHolmes團隊初步分析認為，該地址極有可能是某一交易所的熱錢包地址，其鏈上行為特征和我們認定的交易所熱錢包地址特征高度匹配。這意味著，這滑稽的事情背后藏著的并非神秘土豪的任性一笑，卻可能是廣大無辜韭菜們的無奈哀嚎。

既然目標地址是交易所，為何會無故揮霍巨額資產呢？尤其是在當下中小交易所生存處境都步履維艱的情況下，出現這種自殺式作秀行為實在吊詭，只有一種可能，除非該交易所主體遭到了黑客劫持。

在聯想到這種可能之后，我們發現該異常轉賬故事似乎有了一種更高度合理化的劇情：

1）某主體為交易所的地址被黑客以釣魚等方式實施了攻擊，其部分權限被黑客捕獲，比如：服務器管理權限等；

2）由于該交易所私鑰存在多簽驗證等可能性，因此黑客盡管掌握了服務器賬戶權限，卻無法完全控制私鑰將巨額資產轉給自己。

3）但黑客卻發現其已有權限可以向該地址授權的白名單轉賬，于是黑客才有可能在權限不齊的情況下，實現兩次轉賬；

4）不僅如此，黑客還發現其可以控制GasPrice權限，所以其拿不走這筆資產卻可以想辦法將其揮霍完；

5）于是黑客發出兩次異常轉賬，向該交易所發起了勒索。潛臺詞是如若交易所不通過其他方式給予黑客一定的贖金，黑客將會進一步把錢揮霍完；

6）由于該交易所的服務器權限被控制，使得其無法正常使用私鑰權限，故而眼睜睜看著賬戶錢被動了，卻沒辦法將剩余的錢轉出及時止損。

至此，我們可以推測這兩次異常轉賬行為的背后真相是：一場黑客向交易所發起的GasPrice勒索攻擊。

需要提醒的是，受害者大可不必掉入黑客設計的勒索陷阱。

就以去年2月份發生的2,100個ETH手續費轉賬事件為例，其最終結果是，打包礦池SparkPool最終和轉賬方達成了退還協議。我們認為，當務之急，受害者應該及時和打包交易的礦池方取得聯系，在證明其存在被裹挾事實之后，相信礦池方面會給出一個較為合理的后續處理方案。

結語

以上，只是我們基于鏈上數據和已有地址標簽庫綜合推演出的一種可能性結果，我們還正在對相關地址進行進一步分析、追蹤和調查，同時也在協同礦池方面來探尋事情背后的真相。最后，需要特別聲明的是，我們不能保證該推演的百分百精確，但倘若存在一絲可能性的話，該勒索事件正在發生，且還可能存在進一步的危害，在此敬請受害者及時和我們取得聯系，以便事情真相盡快水落石出。我們相信合眾生態合作伙伴之力，事情能有個相對樂觀的結果。

Tags：以太坊ETH區塊鏈COIN以太坊官網公告ethnographyinbusiness區塊鏈運用的技術中不包括哪一項Ac/sMobilian Coin

USDC