最近,以太坊網路在3天內出現了三次異常大額手續費轉賬。
根據鏈上資料顯示,最近一筆大額手續費的交易是由一個地址標籤為miningpoolhub的地址向0xe38開頭的地址傳送3221枚eth,這一筆交易的交易費高達2310eth(約54萬美元)。根據鏈上資料顯示,包含這個異常手續費交易的區塊是由f2pool打包生成的。交易具體情況如下圖所示:
根據成都鏈安威脅情報系統的報警資訊顯示,這是近期的第三起異常大額手續費交易。
對於這幾起異常大額手續交易,經過成都鏈安·安全實驗室分析團隊使用公司拳頭產品beosin-aml(反洗錢和調查取證系統)進行分析,第三筆2310eth手續費交易的發起方為mining pool hub的挖礦地址,該地址在今日(2020.6.12)一筆清空地址餘額的交易中設定了高達0.11ether(110000000gwei)的gas price,在該筆交易中原地址持有的5531ether中的3221ether轉向了0xe386e開頭的地址,剩餘的高達2310ether(0.11的gas price乘以使用的21000gas)作為交易費用支付給打包交易的魚池(f2pool)地址。
這筆交易的交易費異常的可能性較多,但一次性將錢包餘額轉空,使得沒有餘額再用於gas的消耗,這並不符合『威脅』的攻擊邏輯,所以我們認為與之前出現的2筆疑似針對交易所的異常交易可能並不存在直接聯絡。從鏈上交易資料可見目前該地址已恢復正常使用,由此可以知道其私鑰安全應該並未受到威脅,目前該地址也沒有進一步的異常交易發生。
根據我們多次對錢包審計的經驗來看,交易異常主要可能是攻擊者透過某種手段劫持交易設定gas price的相關操作,在交易簽名之前,直接將gas price設定為異常值,進而生成合法的異常交易。
另外,值得一提的是,在此之前,從6月10日開始兩天內也出現了兩筆異常大額手續費交易。第一筆交易發生在6月10日17:47,在10237208高度以太坊出現一筆手續費高達10668.**85eth、0xcdd6a2b開頭的地址向0x12d8012開頭的地址轉了0.55枚eth,該筆轉賬的打包礦池為星火礦池。交易情況如下圖所示:
第二筆交易發生於6月11日凌晨3:30分,其交易費高達10668.7eth的交易,同樣是從0xcdd6a2b開頭的地址發出的。交易詳情如下圖所示:
交易費用異常事件在以太坊上其實一直時有發生,並不是一個全新出現的問題。但根據我們對鏈上交易費用的持續追蹤分析中,該類事件最常見的原因往往是在手動構建交易中弄錯費用單位或者位數等非安全因素。此次事件受到更多關注的原因主要是涉及疑似交易所地址。交易所對於使用者執行提幣等交易的交易費用的控制一般都是高度自動化和專業化的。在此基礎上我們認為交易所一般不太會犯這些『低階錯誤』。
對於交易所而言,如何避免此類事件呢?根據我們對交易所做服務安全架構的經驗來說,交易所在部署自己的冷熱錢包服務時,一定要跟交易所的主體服務進行業務和資料的分離,並對提幣充幣等操作增加一定的稽覈機制。對於業務安全需要部署相應的業務安全風控系統來增加系統和業務的安全性。
