以太坊黑色情人节事件数据统计及新型攻击手法披露
今年 3 月 20 日我们披露了以太坊生态安全缺陷导致的盗币事件,截止当前,攻击者累计盗取了 47865 枚 ETH,价值高达现价 2 千多万美金,还有总量过百亿的各类 Token。
虽然这次发生的盗币事件已持续两年之久,但攻击者的脚步似乎并没有停下来的意思。2018 年以来,金额数目大大小小的被盗事件就从未停止过,目前最新的一例被盗 Token 就发生在 7 月 1 日。
仅从 2018 年 1 月 1 日起至今,就发生了 2241 起成功的盗币攻击,共计 3163 枚 ETH 被盗,攻击者进行了 31 次提现操作。
2018.1~2018.7盗取次数分布图
从最新被盗取的 ETH 线形图也能看出,在 7 月处有个突刺,是发生在刚刚过去的 7 月 4 日——又一例大额 ETH 钱包被盗事件。
2018.1~2018.7 盗取ETH数分布图
就目前检测到的攻击者钱包地址,我们不难发现 0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464 依旧是目前最为活跃的攻击者,累计攻击次数多达 5023 次,盗取 ETH 数额共计 44620 枚,占被盗总数的 93.22%,并对其进行了多次提现操作。
攻击者盗取ETH数量及盗取次数占比图
这起利用以太坊 RPC 鉴权缺陷实施的自动化盗币攻击,已经在全球范围内对使用者造成了非常严重的经济损失,而在最近,该事件又出现了新的隐藏攻击方式!
新攻击手法过程简述如下:
以太坊节点的 RPC 接口开放,但是账户没有 ETH (此时黑客已经通过扫描发现目标)
黑客立即构造交易并签名(签名设置的金额为 X,nonce 设置为当前的 N+1,N+2,…,N+N),可以构造多个
以太坊节点发现自己的问题,关闭 RPC 端口
以太坊节点认为自己已经安全,开始往账户转入 ETH
其实此时攻击者通过程序自动化实时监控发现你的转入,立即开始广播之前 RPC 开放的时候签名好的信息
攻击完成
这种攻击手法非常隐蔽且真实存在,对此慢雾安全团队再次提醒:请勿将私钥导入节点,如不得不导入,请先将 RPC 改成监听内网或使用 iptables 屏蔽外部访问;针对已导入私钥的节点,安全起见建议暂停使用,把相关资产安全转移后废除这个私钥文件,并在其他隔离机器里重新生成新的私钥,未来采用私钥签名交易+节点广播交易的方式来进行转账操作。
作为以太坊生态参与者,慢雾将会持续对事件进行跟踪分析,以便更好的促进生态安全发展。
详细安全措施及“以太坊黑色情人节”事件回顾:
“以太坊黑色情人节”专题追踪网站:
https://4294967296.io/eth214/
Ps:
我们已正式入驻币乎平台,欢迎关注慢雾区币乎主页:
https://bihu.com/people/586104