以太坊黑色情人节事件数据统计及新型攻击手法披露

今年 3 月 20 日我们披露了以太坊生态安全缺陷导致的盗币事件，截止当前，攻击者累计盗取了 47865 枚 ETH，价值高达现价 2 千多万美金，还有总量过百亿的各类 Token。

虽然这次发生的盗币事件已持续两年之久，但攻击者的脚步似乎并没有停下来的意思。2018 年以来，金额数目大大小小的被盗事件就从未停止过，目前最新的一例被盗 Token 就发生在 7 月 1 日。

仅从 2018 年 1 月 1 日起至今，就发生了 2241 起成功的盗币攻击，共计 3163 枚 ETH 被盗，攻击者进行了 31 次提现操作。

2018.1~2018.7盗取次数分布图

从最新被盗取的 ETH 线形图也能看出，在 7 月处有个突刺，是发生在刚刚过去的 7 月 4 日——又一例大额 ETH 钱包被盗事件。

2018.1~2018.7 盗取ETH数分布图

就目前检测到的攻击者钱包地址，我们不难发现 0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464 依旧是目前最为活跃的攻击者，累计攻击次数多达 5023 次，盗取 ETH 数额共计 44620 枚，占被盗总数的 93.22%，并对其进行了多次提现操作。

攻击者盗取ETH数量及盗取次数占比图

这起利用以太坊 RPC 鉴权缺陷实施的自动化盗币攻击，已经在全球范围内对使用者造成了非常严重的经济损失，而在最近，该事件又出现了新的隐藏攻击方式！

新攻击手法过程简述如下：

以太坊节点的 RPC 接口开放，但是账户没有 ETH （此时黑客已经通过扫描发现目标）

黑客立即构造交易并签名（签名设置的金额为 X，nonce 设置为当前的 N+1，N+2，…，N+N），可以构造多个

以太坊节点发现自己的问题，关闭 RPC 端口

以太坊节点认为自己已经安全，开始往账户转入 ETH

其实此时攻击者通过程序自动化实时监控发现你的转入，立即开始广播之前 RPC 开放的时候签名好的信息

攻击完成

这种攻击手法非常隐蔽且真实存在，对此慢雾安全团队再次提醒：请勿将私钥导入节点，如不得不导入，请先将 RPC 改成监听内网或使用 iptables 屏蔽外部访问；针对已导入私钥的节点，安全起见建议暂停使用，把相关资产安全转移后废除这个私钥文件，并在其他隔离机器里重新生成新的私钥，未来采用私钥签名交易+节点广播交易的方式来进行转账操作。

作为以太坊生态参与者，慢雾将会持续对事件进行跟踪分析，以便更好的促进生态安全发展。

Ps：

我们已正式入驻币乎平台，欢迎关注慢雾区币乎主页：

https://bihu.com/people/586104