Observación dorada | ¿La transferencia de tarifas de servicio altísimas de ETH es un "chantaje" de piratas informáticos? ¿Cómo garantizan los intercambios la seguridad de los fondos?

Recientemente, ha habido tres transferencias de tarifas de transacción anormalmente grandes en la red Ethereum en 3 días.

Los datos anormales más recientes muestran que en una transacción en la que una dirección etiquetada como MiningPoolHub envió 3221 ETH a una dirección que comenzaba con 0xe38, la tarifa de transacción se fijó en 2310 ETH (aproximadamente $540 000) y el bloque fue generado por F2Pool.

Esta es la tercera transferencia de tarifas de transacción inusualmente altas recientemente. En este sentido, Chengdu Lian'an analizó Jinse Finance y dijo: Con respecto a este ataque, después de que nuestro equipo de análisis de seguridad utilizó el sistema antilavado de dinero AML del producto líder de la compañía para analizar, el iniciador de la tercera transacción de tarifa 2310ETH fue el minero de Minería. Pool Hub. Dirección de minería, la dirección tiene un precio de gas de hasta 0,11 Ether (110000000Gwei) en una transacción que liquidó el saldo de la dirección hoy. transacción como la tarifa de transacción. Hay muchas posibilidades de que la tarifa de transacción de esta transacción sea anormal, pero la dirección vacía el saldo de la billetera al mismo tiempo, por lo que no puede volver a causar el consumo de gas. Las transacciones inusuales en los intercambios pueden no tener una conexión directa.

De las transacciones en la cadena, se puede ver que la dirección ha sido restaurada a su uso normal en la actualidad, y la seguridad de la clave privada no debería verse amenazada. Actualmente, no hay más transacciones anormales en esta dirección. Combinado con nuestra experiencia en múltiples auditorías de billetera, es más probable que la billetera sea atacada por piratas informáticos. En cuanto a si está amenazado con pagar un rescate, esto solo se puede determinar analizando los datos internos, registros y otra información relevante del atacado. fiesta.

De acuerdo con nuestra experiencia, la posibilidad de transacciones anormales se debe principalmente al hecho de que el atacante secuestra la operación de configuración de GasPrice de alguna manera. Antes de que se firme la transacción, GasPrice se establece directamente en un valor anormal, generando así un valor legal anormal. transacción.

Vale la pena mencionar que antes de esto, hubo dos transacciones anormales en dos días.

A las 17:47 del 10 de junio, apareció una tarifa de transacción tan alta como 10668.73185 ETH en Ethereum a una altura de 10237208. La dirección que comienza con 0xcdd6a2b transfirió 0.55 ETH a la dirección que comienza con 0x12d8012. El pool de minería para esta transferencia fue Xinghuo Pool.

Después del incidente, Qiu Xiaodong, jefe del mercado de piscinas mineras de Xinghuo, dijo que el propietario congeló la tarifa de manejo y otras negociaciones. Spark Mining Pool está investigando más a fondo el incidente, y todos son bienvenidos a proporcionar pistas. Spark Mining Pool tiene la experiencia de manejar adecuadamente problemas similares. Habrá una solución en el futuro. Espero que todos no difundan rumores, hagan rumores o crean rumores.

A las 11:30 del 11 de junio, la dirección que comienza con 0xcdd6a2b transfirió 350 ETH a la dirección que comienza con  0xe87fda7 nuevamente, y la tarifa de transacción de transferencia también fue tan alta como 10,668.73185 ETH. El emisor fue el grupo minero Ethermine. Bitfly, el mantenedor del pool de minería, dijo: "El pool de minería de Ethermine empaquetó la transacción hoy. Esto es un accidente. Por favor contáctenos con el remitente de la transacción".

En respuesta a la "transferencia de tarifas altísimas de Ethereum", el fundador de Ethereum, Vitalik, dijo: "La tarifa de manejo de millones de dólares en realidad puede ser una extorsión". Su teoría postula que la dirección de envío pertenecía a un intercambio de criptomonedas y que los piratas informáticos capturaron el acceso parcial a las claves del intercambio. Como no tienen las claves completas, no se pueden retirar, pero se pueden enviar transacciones no válidas a cualquier precio de gas. Esencialmente, los piratas informáticos aprovecharon esta capacidad para enviar tales transacciones, amenazando con "quemar" todos los fondos a menos que fueran compensados.

William, el investigador principal de OKEx, analizó Golden Finance y señaló que generalmente hay tres razones para las transacciones anormales.

Una es que el usuario tiene un problema con la operación de la transferencia, como el incidente de alta tarifa de transacción en Ethereum que ocurrió en marzo del año pasado; la otra es que el usuario rico lo hizo deliberadamente, se desconoce el propósito, tal vez sea solo por entretenimiento, después de todo, en opinión de todos, 2310 ETH El precio es muy alto, pero si comenzó a tener estos ETH hace seis años, el costo solo sería de alrededor de $ 600. Por supuesto, la posibilidad de que esto suceda es relativamente baja ; el tercero es usar este método para lavar dinero. La posibilidad de ver esta situación es básicamente cero, porque el Spark Mining Pool involucrado en este incidente ya está contactando activamente al iniciador de la transferencia.

En cuanto a la "transferencia de tarifa de transacción altísima de Ethereum", PeckShield también analizó que esto puede ser un ataque de extorsión GasPrice lanzado por piratas informáticos en el intercambio. Las razones específicas son las siguientes: 1) La dirección de un intercambio cuyo cuerpo principal es el el intercambio fue implementado por piratas informáticos mediante phishing 2) Debido a la posibilidad de verificación de múltiples firmas de la clave privada del intercambio, aunque el pirata informático ha dominado la autoridad de la cuenta del servidor, no puede controlar completamente la clave privada. se transfieren a sí mismos. 3) Sin embargo, el pirata informático descubrió que ya tenía la autoridad para transferir fondos a la lista blanca autorizada por la dirección, por lo que el pirata informático podría realizar dos transferencias bajo la condición de autorización incompleta; 4) No solo eso, el pirata informático también descubrió que él podría controlar GasPrice 5) Entonces, el hacker envió dos transferencias anormales e inició un chantaje al intercambio. El subtexto es que si el intercambio no le da al pirata informático un cierto rescate por otros medios, el pirata informático malgastará aún más el dinero (actualmente quedan 21,000 ETH en la dirección); 6) Dado que la autoridad del servidor del intercambio está controlada, no puede Uso normal de la autoridad de clave privada, así que observé que el dinero de la cuenta era pasivo, pero no había forma de transferir el dinero restante y detener la pérdida a tiempo.

Las anomalías en las tarifas de transacción siempre han ocurrido en Ethereum, y no es un problema nuevo. Sin embargo, en el seguimiento y análisis continuos de las tarifas de transacción en cadena de Chengdu Lianan, la causa más común de tales incidentes suele ser factores que no son de seguridad, como unidades de tarifa incorrectas o dígitos en transacciones construidas manualmente. La razón por la que este incidente ha recibido más atención se debe principalmente a que involucra direcciones de intercambio sospechosas. El control de tarifas de transacción del intercambio cuando se retiran monedas de los usuarios generalmente está altamente automatizado y especializado. Sobre esta base, creemos que es menos probable que los intercambios cometan estos "errores de bajo nivel". Y de acuerdo con nuestra experiencia habitual de auditoría de seguridad y experiencia de análisis de incidentes de seguridad, este "ataque" de extorsión de GasPrice no es común.

Para los intercambios, ¿cómo evitar este tipo de incidentes? Chengdu Lian'an le dijo a Jinse Finance: "Según nuestra experiencia en la arquitectura de seguridad de servicios de los intercambios, cuando los intercambios implementan sus propios servicios de billetera caliente y fría, deben separar los negocios y los datos de los servicios principales de los intercambios. Y agregar una cierta revisión mecanismo para operaciones como el retiro y depósito de monedas.Para la seguridad del negocio, es necesario implementar un sistema de control de riesgos de seguridad comercial correspondiente para aumentar la seguridad del sistema y del negocio”.

Vale la pena señalar que para resolver el problema de las enormes tarifas de transferencia en la red Ethereum que han aparecido repetidamente recientemente, Vitalik propuso EIP1559, una propuesta que puede reducir las tarifas de entrada manual para reducir tales situaciones. EIP1559 es una propuesta comunitaria que tiene como objetivo cambiar el modelo de cobro actual ajustando las tarifas básicas de la red con la demanda de la red. El modelo de cobro actual permite a los usuarios elegir sus propias tarifas después de iniciar una transacción, lo que generará tarifas de transferencia más altas cuando la red esté ocupada. Se informa que EIP1559 es una propuesta destinada a cambiar el mercado de tarifas de Ethereum. Los principales cambios implican: 1. El límite actual de 10 millones de gas será reemplazado por dos valores, uno es el "objetivo promedio a largo plazo" (10 millones) , y el otro es "El límite superior duro de cada bloque" (20 millones); 2. La transacción debe pagar una tarifa base (BASEFEE, que se quemará), que se ajusta de acuerdo con el bloque, y el objetivo es para determinar un valor para que el bloque de gas El uso promedio se mantenga alrededor de 10 millones.

Tags：

ICP