เบื้องหลังการโอนค่าธรรมเนียมที่สูงเสียดฟ้าของ Ethereum: การโจมตีกรรโชก GasPrice ที่เริ่มต้นโดยแฮ็ก

特邀专栏作者

2020-06-12 02:51

บทความนี้มีประมาณ 2269 คำ การอ่านทั้งหมดใช้เวลาประมาณ 4 นาที

ฟังดูเหมือนเรื่องเล็ก ๆ น้อย ๆ แต่ฟังดูเหมือนเรื่องตลก

อย่างที่คุณเห็น มีเรื่องซุบซิบและเกร็ดเล็กเกร็ดน้อยอยู่เสมอในอุตสาหกรรมบล็อกเชนที่เราอยู่ โดยเฉพาะอย่างยิ่งเมื่อตลาดปัจจุบันเป็นไซด์เวย์และอารมณ์ตลาดต่ำ อย่างไรก็ตาม มีเรื่องซุบซิบกันอยู่บ้าง ทุกคนกำลังดูความตื่นเต้น แต่ประตูที่อยู่เบื้องหลังนั้นชัดเจน เช่น ความคับข้องใจและความเกลียดชังต่างๆ ระหว่างการแลกเปลี่ยนที่มีชื่อเสียงกับผู้ผลิตเครื่องจักรทำเหมือง

อย่างไรก็ตาม มีเรื่องเล็ก ๆ น้อย ๆ อีกประเภทหนึ่งในแวดวงที่ทุกคนพูดถึง ดูเหมือนง่าย ๆ บนพื้นผิว แต่ความจริงเบื้องหลังนั้นยากที่จะเข้าใจ

เมื่อวันที่ 19 กุมภาพันธ์ 2019 ธุรกรรมเพียง 0.1 ETH ปรากฏบนเครือข่าย Ethereum แต่ผู้ค้าให้ค่าธรรมเนียมการจัดการสูงถึง 2,100 ETH คำนวณ ณ เวลา ETH 969 หยวน การดำเนินการที่ไม่คาดคิดนี้ นักขุดที่บรรจุธุรกรรมนี้ ได้รับการเก็บเกี่ยวที่ไม่คาดคิดประมาณ 2 ล้านหยวน

บังเอิญในสองวันที่ผ่านมา มีการแสดงโครงเรื่องที่คล้ายกันอีกครั้ง และมันบ้าและมหัศจรรย์ยิ่งกว่าครั้งที่แล้ว:

เมื่อเวลา 11:30 น. ของวันที่ 11 มิถุนายน ที่อยู่ที่ขึ้นต้นด้วย 0xcdd6a2b ได้โอน 350 ETH ไปยังที่อยู่ที่ขึ้นต้นด้วย 0xe87fda7 อีกครั้ง และค่าธรรมเนียมการทำธุรกรรมการโอนก็สูงถึง 10,668.73185 ETH

คำอธิบายภาพ

หลังจากปฏิบัติการตุ้งติ้งระลอกนี้ ที่อยู่ที่ขึ้นต้นด้วย 0xcdd6a2b ใช้จ่ายสุรุ่ยสุร่ายไป 5.22 ล้านดอลลาร์สหรัฐในหนึ่งวัน รวมมูลค่าประมาณ 37 ล้านหยวน

ชื่อเรื่องรอง

ความเป็นไปได้ 3 แบบสำหรับการโอนเงินโดยไม่ตั้งใจ

สิ่งนี้ช่วยไม่ได้ที่จะทำให้ผู้ชมสับสน

อันดับแรก เราอาจวิเคราะห์โดยสังเขปจากมุมมองของผู้ที่รับประทานแตงโม ความเป็นไปได้หลายประการที่จะเกิดอุบัติเหตุดังกล่าว:

หัวข้อพิเศษ 1) - "คนรวยในท้องถิ่นมีเงินโง่ๆ มากมาย": เมื่อทรราชท้องถิ่นเอาแต่ใจโอนเงิน มือของพวกเขาสั่น โอ้ สองครั้ง สิบล้านเท่านั้น ไม่ต้องพูดถึง;

ธีมพิเศษ 2) - "Big Brother Purdue All Beings": ขี้เถ้าลึกลับของแวดวงเงินตรา ผู้แจกจ่ายเงินช่วยเหลือเพื่อปลอบใจแก่ทุกคนเมื่อตลาดอยู่ในภาวะตกต่ำ สุ่มแจกซองจดหมายสีแดงให้กับนักขุดที่สร้างผลงานโดดเด่นอย่างเงียบๆ ให้กับชุมชนบล็อกเชน ความตื่นเต้น;

ความเป็นไปได้สามประการข้างต้นเป็นสิ่งที่คนธรรมดาสามารถคิดได้ แต่ความเป็นไปได้นั้นไม่ดีนักหลังจากพิจารณาอย่างใกล้ชิด ไม่จำเป็นต้องพูดถึงสองคนแรก ในแวดวงนี้ซึ่งมีกับดักอยู่ทุกหนทุกแห่ง และทุกคนต่างก็คลั่งไคล้ ฉันเสียสติไปแล้ว และฉันก็ไม่อยากจะเชื่อจริงๆ ว่ามีความเป็นไปได้ดังกล่าว

คำอธิบายภาพ

สำหรับความเป็นไปได้ที่สามมันเป็นแฟนตาซีมากยิ่งขึ้น เราพบว่ากลุ่มการขุดที่บรรจุการทำธุรกรรมที่ผิดปกติทั้งสองนี้คือ Spark Pool และ Ethermine และพลังการประมวลผลปัจจุบันของกลุ่มการขุดทั้งสองนี้คิดเป็น 30.02% และ 21.43% ตามลำดับ กล่าวคือ โอกาสชนะสูงสุดที่ทำได้ในการซื้อพูลการขุดเพียง 1/3 เท่านั้น และเพื่อให้แน่ใจว่าอัตราความสำเร็จของการฟอกเงินสูงกว่า 99% สถาบันการฟอกเงินจะต้องซื้อพูลการขุดมากกว่า 10 พูลพร้อมกัน เวลา. ภายใต้ฉันทามติของอุตสาหกรรมการขุดที่มั่นคงในปัจจุบัน เห็นได้ชัดว่านี่เป็นความฝันและเป็นไปไม่ได้เลยที่จะเกิดขึ้น

ชื่อเรื่องรอง

การโจมตีค่าไถ่ของ GasPrice ที่เริ่มต้นโดยแฮ็กเกอร์?

นอกเหนือจากการคาดคะเนทั้งสามในระดับการกินเมลอน เราอาจแยกแยะจากมุมมองของมืออาชีพ กลเม็ดอะไรซ่อนอยู่เบื้องหลังการถ่ายโอนที่ผิดปกติติดต่อกันสองครั้งนี้

จากการวิเคราะห์เชิงลึกของแท็กที่อยู่ที่มีอยู่กว่า 70 ล้านรายการและการตรวจสอบย้อนกลับและเครื่องมือการติดตามแบบมืออาชีพ CoinHolmes ซึ่งเป็นแพลตฟอร์มการติดตามสินทรัพย์ที่มองเห็นได้ภายใต้ทีมรักษาความปลอดภัยของ PeckShield พบว่า:

1. เราต้องหาว่า address ที่ขึ้นต้นด้วย 0xcdd6a2b คือใคร? หลังจากวิเคราะห์แล้ว มีบัญชีขาเข้าและขาออกจำนวนมากที่ที่อยู่นี้ และพบว่ามีที่อยู่เล็กๆ จำนวนหนึ่งที่ถูกล้างหลังจากโต้ตอบกับที่อยู่นี้ การวิเคราะห์เบื้องต้นของทีม CoinHolmes เชื่อว่าที่อยู่นี้มีความเป็นไปได้สูงมาก เป็นที่อยู่กระเป๋าเงินร้อนของการแลกเปลี่ยนบางอย่าง ลักษณะพฤติกรรมของมันในห่วงโซ่นั้นเข้ากันได้อย่างมากกับลักษณะที่อยู่กระเป๋าเงินร้อนของการแลกเปลี่ยนที่เราระบุ ซึ่งหมายความว่าสิ่งที่ซ่อนอยู่เบื้องหลังเหตุการณ์ตลกนี้ไม่ใช่รอยยิ้มจงใจของทรราชท้องถิ่นผู้ลึกลับ แต่เป็นเสียงร่ำไห้อย่างช่วยไม่ได้ของต้นหอมที่ไร้เดียงสา

2. เนื่องจากที่อยู่เป้าหมายคือการแลกเปลี่ยน เหตุใดทรัพย์สินจำนวนมหาศาลจึงถูกทิ้งอย่างไร้เหตุผล? โดยเฉพาะอย่างยิ่งในสถานการณ์ปัจจุบันที่การแลกเปลี่ยนขนาดเล็กและขนาดกลางกำลังดิ้นรนเพื่อความอยู่รอดมันเป็นเรื่องที่ขัดแย้งกันจริง ๆ ที่พฤติกรรมแสดงการฆ่าตัวตายแบบนี้เกิดขึ้นมีความเป็นไปได้เพียงอย่างเดียวเว้นแต่ว่าตัวหลักของการแลกเปลี่ยนจะถูกแฮ็กเกอร์

หลังจากคิดเกี่ยวกับความเป็นไปได้นี้ เราพบว่าเรื่องราวการถ่ายโอนที่ผิดปกติดูเหมือนจะมีโครงเรื่องที่สมเหตุสมผลมากกว่า:

1) หัวเรื่องที่มีที่อยู่เป็นการแลกเปลี่ยนถูกโจมตีโดยแฮ็กเกอร์ด้วยวิธีฟิชชิ่ง ฯลฯ และแฮ็กเกอร์ยึดสิทธิ์บางอย่าง เช่น สิทธิ์การจัดการเซิร์ฟเวอร์ ฯลฯ

2) เนื่องจากความเป็นไปได้ของการตรวจสอบรหัสส่วนตัวของการแลกเปลี่ยนแบบหลายลายเซ็น แม้ว่าแฮ็กเกอร์จะเชี่ยวชาญในอำนาจของบัญชีเซิร์ฟเวอร์ แต่เขาก็ไม่สามารถควบคุมรหัสส่วนตัวเพื่อถ่ายโอนทรัพย์สินขนาดใหญ่ให้กับตัวเองได้อย่างสมบูรณ์

3) อย่างไรก็ตาม แฮ็กเกอร์พบว่าเขามีอำนาจในการโอนเงินไปยังบัญชีขาวที่อนุญาตโดยที่อยู่ ดังนั้นแฮ็กเกอร์สามารถรับรู้การถ่ายโอนสองครั้งภายใต้เงื่อนไขของอำนาจที่ไม่สมบูรณ์;

4) ไม่เพียงแค่นั้น แฮ็กเกอร์ยังพบว่าเขาสามารถควบคุมผู้มีอำนาจของ GasPrice ได้ ดังนั้นเขาจึงไม่สามารถเอาทรัพย์สินนี้ออกไปได้ แต่เขาสามารถหาทางใช้สุรุ่ยสุร่ายได้

5) ดังนั้นแฮ็กเกอร์จึงส่งการถ่ายโอนที่ผิดปกติสองครั้งและเริ่มแบล็กเมล์ไปยังการแลกเปลี่ยน ข้อความย่อยคือหากการแลกเปลี่ยนไม่ให้ค่าไถ่แก่แฮ็กเกอร์ด้วยวิธีการอื่น แฮ็กเกอร์จะใช้เงินสุรุ่ยสุร่ายต่อไป (ที่อยู่ปัจจุบันเหลือ 21,000 ETH)

6) เนื่องจากเซิร์ฟเวอร์ของการแลกเปลี่ยนถูกควบคุม จึงไม่สามารถใช้สิทธิ์คีย์ส่วนตัวได้ตามปกติ ดังนั้นเงินในบัญชีจึงเป็นแบบพาสซีฟ แต่ไม่มีทางที่จะโอนเงินที่เหลือออกไปได้ทันเวลาเพื่อหยุดการขาดทุน

จนถึงตอนนี้ เราสามารถคาดเดาได้ว่าความจริงเบื้องหลังการถ่ายโอนที่ผิดปกติทั้งสองนี้คือ: การโจมตีแบบขู่กรรโชก GasPrice ที่แฮ็กเกอร์โจมตีการแลกเปลี่ยน

ชื่อเรื่องรอง