区块链数字货币——以太坊黑色情人节活动

（本文主要用于哈尔滨工程大学计算机学院2021年区块链技术课程选修课，作者：孙润泽、刘子健）

这学期学完区块链，很荣幸在这里和大家分享。今天给大家带来区块链的安全性分析和介绍。我会用简单易懂的方式让大家理解。区块链逐渐进入我们的视野，越来越多的人参与到区块链研究中，但是很多人没有安全知识，安全意识薄弱，很容易让攻击者利用它。今天，我将向您展示。以太坊情人节活动。

以太坊

在此处插入图片说明

以太坊是一个具有智能合约功能的开源公共区块链平台。通过其专用的加密货币以太（Ether，也称为“以太”），它提供了一个去中心化的虚拟机（称为“以太坊虚拟机”）来处理点对点合约。

以太坊的概念最早由程序员 Vitalik Buterin 在 2013 年到 2014 年间提出，受比特币启发，大意是“下一代加密货币和去中心化应用平台”，买卖股票的证券交易所类似.

以太坊数字货币平台主要遵循以下两个原则。

1、介绍原则

以太坊协议将尽可能简单，即使以一些数据存储和时间效率低下为代价。

2、普遍原则

没有“功能”是以太坊设计理念的基本组成部分。相反，以太坊提供了一种内部图灵完备的脚本语言，供用户构建可以精确定义的任何类型的智能合约或交易。

具体事件

这是一种自动盗窃硬币的攻击。攻击者利用以太坊节点Geth/Parity RPC API（RPC：一种计算机协议，以太坊RPC节点是以太坊与其他系统交互的窗口）的认证漏洞，恶意调用eth_sendTransaction窃取token，窃取的值而仅未转让的以太币就高达2000万美元，代币就有164种。总价值难以估计（许多代币尚未在交易所正式发行）。

在此处插入图片说明

攻击过程

结合受害者情报、Reddit信息和蜜罐日志分析，追溯攻击行为可能是：

动作概率

全局扫描8545端口（HTTP JSON RPC API）和8546端口（WebSocket JSON RPC API）等开放以太坊节点，发送eth_getBlockByNumber、eth_accounts、eth_getBalance遍历区块高度、钱包地址和余额24%

不断调用eth_sendTransaction尝试将余额转入攻击者钱包的32%

当节点用户在其钱包上执行 unlockAccount 时，在持续期间，无需再次输入密码来签署交易。此时攻击者的eth_sendTransaction调用会正确执行，余额将进入攻击者钱包的42%。

简单来说，以太坊的高频交易，可以设置一段时间不输入密码。时间长度由用户设置。如果此时黑客发送余额转账指令，以太账户会自动执行该操作，从而实现钱包转账。

攻击时间线

国内顶级区块链安全团队慢雾安全团队对攻击者的钱包地址进行了详细分析，得到以下主要攻击时间线：

特定时间的动作

2016/02/14 03:59:14 PM 第一个IN（收款），这一天是情人节

2016/02/16 06:33:30 PM 二进，2天后，猜测自动攻击程序第一次上线

2016/05/19 07:46:33 PM 第一个OUT（出站），这个时候，一共51个IN

2016/07/20 06:35:57 PM 第二次OUT，此时一共57个IN

2017/05/11 06:34:35 PM PM Shapeshift（知名交易所）IN 7 笔交易，跨越 71 天

2017/06/10 02:39:53 AM OUT 最后一笔交易，此时大约有207笔IN交易

2017/06/21 07:46:49 AM f2pool（知名矿池）IN 36 笔交易，跨越 4 小时

这种时间线跟踪可以帮助分析攻击者的行为轨迹。

从上面提到的攻击时间线来看，攻击者其实是很不寻常的。这种潜在的攻击发生在以太坊历史上第一个众所周知的黑客事件之前。其实当时就是以太坊。在没有得到市场官方认可的情况下，可以看出攻击者是一个非常早期的以太坊研究员，并且他也了解黑客技术。攻击者在实战过程中不断优化这个项目。

防御措施

这起盗币事件被发现已有两年时间，但攻击者似乎并未停止。 2018 年 3 月，盗币事件被披露，截至 2018 年 7 月 1 日，攻击者的行动并未停止。总共有47865个ETH被盗，按现价计算价值超过2000万美元，各种代币总额超过100亿。

我们如何防御这种攻击？

1、更改默认的 RPC API 端口

2、将RPC API监听地址改为内网

3、 配置 iptables 以限制对 RPC API 端口的访问

4、不要在节点上存储账户信息（keystore）（因为账户不在节点上，所以不会使用unlockAccount）

5、私钥物理隔离（如冷钱包、人工转录）或高强度加密存储，保证密钥安全

后续

这种利用以太坊RPC认证漏洞实施的自动货币盗窃攻击，给全球用户造成了非常严重的经济损失。

你认为这已经结束了吗？

活动还有新的隐藏攻击方式！

在此处插入图片说明

新的攻击方式

以太坊节点的RPC接口是开放的，但是账户没有ETH（此时已经通过扫描目标发现了黑客）；

黑客立即构造交易并签名（签名设置的金额为X，nonce设置为当前的N+1，N+2，...，N+N），多个可以被建造；

以太坊节点发现自己的问题，关闭了RPC端口；

以太坊节点认为安全，开始将ETH转入账户；

实际上，此时攻击者通过程序自动化实时发现你的转账，并在打开RPC时立即开始广播签名信息；

至此，攻击完成。

在此处插入图片说明

这种攻击方式非常隐蔽和真实，我们只能看到花招。

这里提醒大家：不要将私钥导入节点。如果一定要导入，请改RPC监控内网或者使用iptables。

阻止外部访问：对于已经导入私钥的节点，出于安全考虑，建议暂停使用。相关资产安全转移后，废除私钥文件，在其他隔离机器中重新生成新的私钥。未来将采用私钥签名交易+节点广播交易的方式进行转账操作。

进一步分析

进一步分析RPC API相关模块功能会发现一些潜在的安全隐患，也需要注意

例如：如果RPC API中开启了personal模块，可以通过personal_unlockAccount方法爆破账号密码。如果爆破成功，可以一次性实现解锁+转移。如果在 RPC API 中开启了矿工模块以太坊归零事件，可以通过 miner_setEtherbase 方法修改挖矿钱包地址。

从防御分析的角度，我们也发现Geth等人的日志机制并不完善，无法记录RPC API请求的源IP（配置--debug和--verbosity 5无效），导致在直接攻击中。在以太坊节点取证追踪攻击者IP非常麻烦。

层出不穷的攻击手段

在此处插入图片说明

虽然以太坊本身的稳健性已经过测试，但安全性是一个整体。通过这次事件，我们可以看到以太坊生态系统的一些安全漏洞。一些安全漏洞可能被认为是一种需要用户注意的机制，但安全门槛对用户来说太高了。具有高阈值的安全必须更容易滋生大型攻击。

安全思维

通过对此次事件的调查和对攻击方式的全面考量，我们越来越意识到网络空间遵循黑暗森林的规律。让我们仔细考虑一下这种持久且仍然活跃的攻击的所有细节。如果我们是攻击者，我们可以通过一个脚本项目轻松拿下全球数万甚至数百万的数字资产。 .

下面说说我的感受。我之所以分享区块链的安全，是因为在区块链中安全的重要性永远是第一位的，因为上千亿的代币都在区块链上。大多数区块链都是开源的。任何人都可以研究开源代码。一不小心，可能会丢失无数代币。

知名交易所遭到攻击，每一次安全事件都非常严重，很多人的账号可能一夜之间归零。区块链未来十年的安全运行无疑是行业的巅峰之作。是神一样的存在。 Btc 还在运行这么多年。你有没有想过为什么最早的项目还在运行，而新的项目还在运行？升级改版了，但是问题很多，因为任何行业都在进步，有问题是正常的以太坊归零事件，没有问题就是例外。事实上，由于区块链的特性，对安全性的要求极高，如何满足更高层次的区块链的安全性，其实是区块链开发和应用的前提。

—————————————————

版权声明：本文为CSDN博主“wdanfnanfn”原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接和本声明。

原文链接：