TMT观察网_独特视角观察TMT行业

WF曲速未來有話要說：古人的盜亦有道，在虛擬貨幣領域也有著它獨特的定義。只有對區塊鏈技術足夠了解，才能在這場盛宴中獲取足夠多的金錢。他們似那黑暗中獨行的狼，無論是否得手都會在被發現前抽身而去。

前言：

WF曲速未來帶你回顧：

2018-03-21, 在《揭秘以太坊中潛伏多年的「偷渡」漏洞，全球黑客正在瘋狂偷幣》和《以太坊生態缺陷導致的一起億級代幣盜竊大案》兩文揭秘以太坊偷渡漏洞（又稱為以太坊黑色情人節事件）相關攻擊細節后，已根據已有的信息進一步完善了相關蜜罐。

2018-05-16, 再次對偷渡漏洞事件進行預警并指出該端口已存在密集的掃描行為。

2018-06-29,慢霧社區里預警了以太坊黑色情人節事件（即偷渡漏洞）新型攻擊手法，該攻擊手法在本文中亦稱之為：離線攻擊。

黑暗中的盜幣方式：偷渡時代

攻擊流程復現

攻擊復現環境位于ropsten測試網絡。

被攻擊者 IP: 10.0.0.2，啟動客戶端命令為：geth –testnet –rpc –rpcapi eth –rpcaddr 0.0.0.0 console賬戶地址為：

0x6c047d734ee0c0a11d04e12adf5cce4b31da3921, 剩余余額為5 ether；

攻擊者 IP: 10.0.0.3 , 賬戶地址為：

0xda0b72478ed8abd676c603364f3105233068bdad；

攻擊者步驟如下：

1. 攻擊者通過端口掃描等方式發現被攻擊者開放了JSON-RPC端口后，調用eth_getBlockByNumbereth_accounts接口查詢當前節點最新的區塊高度以及該節點上已有的賬戶。

2. 攻擊者調用eth_getBalance接口查詢當前節點上所有賬戶的余額。

3. 攻擊者對存在余額的賬戶持續發起轉賬請求。

一段時間后，被攻擊者需要進行交易：

按照之前的知識點，用戶需要先解鎖賬戶然后才能轉賬。當我們使用 personal.unlockAccount 和密碼解鎖賬戶后，就可以在終端看到惡意攻擊者已經成功發起交易。

惡意攻擊者的交易信息：

攻擊的流程圖如下所示：

攻擊成功的關鍵點解析

看完前面的偷渡漏洞攻擊流程，你可能會有這樣的疑問：

1）攻擊者為什么可以轉賬成功？

2）如例子中所示，該地址只有 5 ether，一次被轉走了 4.79 ether，如果我們解鎖賬戶后在被攻擊前發起轉賬，轉走 1 ether，是否攻擊者就不會攻擊成功？

下文將詳細分析這兩個問題并給出答案。

攻擊者可以通過 rpc 接口轉賬的原因：

首先，分析一下關鍵的unlockAccount函數:

在判斷傳入的解鎖時間是否為空、是否大于最大值后，調用 TimedUnlock() 進行解鎖賬戶的操作，而 TimedUnlock() 的代碼如下：

首先通過getDecryptedKey()從keystore文件夾下的文件中解密出私鑰，再判斷該賬戶是否已經被解鎖，如果沒有被解鎖，則將解密出的私鑰存入名為unlocked的map中。如果設置了解鎖時間，則啟動一個協程進行超時處理go ks.expire()。

再看向實現轉賬的函數的實現過程SendTransaction()-> wallet.SignTx() -> w.keystore.SignTx()：

可以看到，在w.keystore.SignTx()中，直接從ks.unlocked中取出對應的私鑰。這也就意味著如果執行了unlockAccount()函數、沒有超時的話，從ipc、rpc調用SendTransaction()都會成功簽名相關交易。

由于默認參數啟動的 Go-Ethereum 設計上并沒有對 ipc、rpc 接口添加相應的鑒權模式，也沒有在上述的代碼中對請求用戶的身份進行判斷，最終導致攻擊者可以在用戶解鎖賬號的時候完成轉賬操作，偷渡漏洞利用成功。

攻擊者和用戶競爭轉賬的問題

由于用戶解鎖賬戶的目的是為了轉賬，所以存在用戶和攻擊者幾乎同時發起了交易的情況，在這種情況下，攻擊者是如何保證其攻擊的成功率呢？

在攻擊者賬號0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464的交易記錄中，交易0x8ec46c3054434fe00155bb2d7e36d59f35d0ae1527aa5da8ec6721b800ec3aa2能夠很好地解釋該問題。

相較于目前主流的gasPrice維持在1Gwei，該筆交易的gasPrice達到了驚人的1,149,246 Gwei。

也正是由于較高的gasPrice, 使得該攻擊者在與其它攻擊者的競爭中（有興趣的可以看看上圖紅框下方兩筆dropped Txns）得到這筆巨款。

蜜罐捕獲數據

蜜罐是一臺無人使用但卻被嚴密監控的網絡主機，它包含虛假的高價值資源和一些漏洞，以此吸引入侵者攻擊主機。并且在被入侵的討程中，實時記錄和審計攻擊者的攻擊流量、行為和數據。以此了解攻擊者的方式、手段和目的，并且完成對攻擊溯源取證等進一步的工作。

數據捕獲：數據捕獲技術包括網絡流量數據捕獲以及主機上系統行為的捕獲。網絡流量數據的捕獲結合網絡入侵檢測系統，配置相關敏感信息的檢測規則，觸發入侵檢測規則時立即記錄網絡流量。

在偷渡漏洞被曝光后，就有在已有的蜜罐數據中尋找到部分攻擊的痕跡。

下圖是2017/10/01到2018/03/21間蜜罐監控到的相關攻擊情況：

被攻擊端口主要是8545端口，8546、10332、8555、18082、8585端口等也有少量掃描痕跡。

攻擊來源IP主要集中在46.166.148.120/196和216.158.238.178/186/226上：

46.166.148.120/196攻擊者使用的探測payload主要是:

216.158.238.178/186/226攻擊者使用的探測payload主要是:

具有團隊在全球節點蜜罐監測結果顯示，黑客針對以太坊 JSON-RPC 進行盜幣攻擊一直在持續。區塊鏈安全公司WF曲速未來再次建議廣大注意安全防御。