以太坊网络连续三天出现大额手续费异常转账事件分析
最近,以太坊网络在3天内出现了三次异常大额手续费转账。
根据链上数据显示,最近一笔大额手续费的交易是由一个地址标签为MiningPoolHub的地址向0xe38开头的地址发送3221枚ETH,这一笔交易的交易费高达2310ETH(约54万美元)。根据链上数据显示,包含这个异常手续费交易的区块是由F2Pool打包生成的。交易具体情况如下图所示:
根据成都链安威胁情报系统的报警信息显示,这是近期的第三起异常大额手续费交易。
对于这几起异常大额手续交易,经过成都链安·安全实验室分析团队使用公司拳头产品Beosin-AML(反洗钱和调查取证系统)进行分析,第三笔2310ETH手续费交易的发起方为Mining Pool Hub的挖矿地址,该地址在今日(2020.6.12)一笔清空地址余额的交易中设置了高达0.11Ether(110000000Gwei)的Gas Price,在该笔交易中原地址持有的5531Ether中的3221Ether转向了0xe386e开头的地址,剩余的高达2310Ether(0.11的Gas Price乘以使用的21000gas)作为交易费用支付给打包交易的鱼池(F2Pool)地址。
这笔交易的交易费异常的可能性较多,但一次性将钱包余额转空,使得没有余额再用于Gas的消耗,这并不符合『威胁』的攻击逻辑,所以我们认为与之前出现的2笔疑似针对交易所的异常交易可能并不存在直接联系。从链上交易数据可见目前该地址已恢复正常使用,由此可以知道其私钥安全应该并未受到威胁,目前该地址也没有进一步的异常交易发生。
根据我们多次对钱包审计的经验来看,交易异常主要可能是攻击者通过某种手段劫持交易设置Gas Price的相关操作,在交易签名之前,直接将Gas Price设置为异常值,进而生成合法的异常交易。
另外,值得一提的是,在此之前,从6月10日开始两天内也出现了两笔异常大额手续费交易。第一笔交易发生在6月10日17:47,在10237208高度以太坊出现一笔手续费高达10668.73185ETH、0xcdd6a2b开头的地址向0x12d8012开头的地址转了0.55枚ETH,该笔转账的打包矿池为星火矿池。交易情况如下图所示:
第二笔交易发生于6月11日凌晨3:30分,其交易费高达10668.7ETH的交易,同样是从0xcdd6a2b开头的地址发出的。交易详情如下图所示:
交易费用异常事件在以太坊上其实一直时有发生,并不是一个全新出现的问题。但根据我们对链上交易费用的持续追踪分析中,该类事件最常见的原因往往是在手动构建交易中弄错费用单位或者位数等非安全因素。此次事件受到更多关注的原因主要是涉及疑似交易所地址。交易所对于用户执行提币等交易的交易费用的控制一般都是高度自动化和专业化的。在此基础上我们认为交易所一般不太会犯这些『低级错误』。
对于交易所而言,如何避免此类事件呢?根据我们对交易所做服务安全架构的经验来说,交易所在部署自己的冷热钱包服务时,一定要跟交易所的主体服务进行业务和数据的分离,并对提币充币等操作增加一定的审核机制。对于业务安全需要部署相应的业务安全风控系统来增加系统和业务的安全性。
作者:成都链安科技;来自链得得内容开放平台“得得号”,本文仅代表作者观点,不代表链得得官方立场凡“得得号”文章,原创性和内容的真实性由投稿人保证,如果稿件因抄袭、作假等行为导致的法律后果,由投稿人本人负责得得号平台发布文章,如有侵权、违规及其他不当言论内容,请广大读者监督,一经证实,平台会立即下线。如遇文章内容问题,请发送至邮箱:linggeqi@chaindd.com