胡飞瞳: "大冤种"如何在 80 分钟内丢失 1155 个 BTC

吴说区块链 · 2024-05-04T10:19:53.000Z

作者 | 胡飞瞳北京时间 5 月 3 日晚，某巨鲸由于操作不慎误转 1155 个 BTC 到钓鱼钱包地址，按当时币价计算，价值约七千一百万美金。如此大数额的财务几乎是瞬间蒸发，给业界一个大大的教训。事情经过我们首先来看事情的发展经过（5 月 3 日，以下为北京时间）： 17:14:47，0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 钱包地址（巨鲸）向 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91 地址转账 0.5 ETH，并创建该地址； 17:17:59， 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 钱包地址（黑客）向 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 钱包地址转账 0 ETH 18:31:35，0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 （巨鲸）通过调用 WBTC 合约向 0xd9A1C3788D81257612E2581A6ea0aDa244853a91地址转账 1155.28802767 个 WBTC； 5 月 4 日 10:51:11，0xd9A1C3788D81257612E2581A6ea0aDa244853a91（黑客）地址转移全部 WBTC 至新地址：0xfB5bcA56A3824E58A2c77217fb667AE67000b7A6 这里转来转去大家可能看不明白，从黑客的角度解说一下：黑客在链上持续监视此巨鲸的活动；在 5 月 3 日黄昏发现此巨鲸创建了一个新的地址。黑客马上采取行动；通过暴力随机生成私钥和地址，来获得与巨鲸新生成地址相似的地址（请读者仔细检查上面的第 1，2 步两个地址被标红的部分，完全一样，但其他地方不同）。并通过生成的地址给巨鲸转移 0 ETH，目的是在巨鲸的钱包中产生一条交易历史，其中包含钓鱼地址0xd9A1C3788D81257612E2581A6ea0aDa244853a91；巨鲸确认自己的地址收到 0.5 ETH 后，开始转移 WBTC 至新地址，此时，致命的错误发生了。巨鲸在转账历史中找到前后地址数字与自己目标地址相同的地址复制黏贴，错误地把钓鱼地址输入了；黑客监测自己的钓鱼地址，惊喜地发现取得“巨大收获” - 1155 BTC。估计马上出去庆祝，喝完啤酒，睡了一觉后，再把 WBTC 转移至另一个新地址。启示大家有没有注意到一个问题，注意看一下时间线，在巨鲸生成新地址后，黑客在 3 分钟左右就准备好钓鱼地址，并完成给巨鲸的转账。这说明几点： a.黑客早有准备，整个过程了然入胸，脚本早就准备好了，整个过程是自动化； b.黑客掌握较大的算力，这里生成的地址包括特定的5个字节完全一样（前导两个字节和最后三个字节），也就是差不多 2^40 的运算量。GPU 肯定是要的，而且要大量的； c.因此，这个多半不是个人行为，而是有组织的行为区块链带来了去中心化，消除了中间人，自己掌握自己的财富，个人也可以自己掌握自己的数据。但是，这也要求自己掌握安全。对个人的安全意识和安全知识要求就非常高了。这位巨鲸，他有很强的安全意识，这体现在：1）他隔一段时间更换地址；2）大额转账前先进行测试和确认。但是，百密一疏，一个复制黏贴毁掉所有。一些转账的安全常识通过这个超过 7 千万美元的教训，每一个数字资产的持有人都应该警醒，黑客和钓鱼无处不在，你是你财产的第一负责人，也是唯一负责人。一些安全常识一定要掌握。这里列出一些对于较大额资产的钱包安全，供大家参考： ·私钥和助记词一定离线生成，并离线保存。 —现在大多数钱包都有离线签名功能； —也可以采用硬件钱包，但使用硬件钱包时，也要备份好私钥 ·一旦怀疑私钥或助记词可能暴露，要尽快更换，并转移资产 ·转账地址要存入地址簿，并做好备注，不要临时拷贝地址 ·转账从地址簿选择地址，并一定要做测试转账，与接收方确认成功后再转 ·大额转账可分多次进行 ·不要直接点击对方发过来的转账链接进行转账或网上交易 —钓鱼往往伪造相似链接或相似地址进行 ·更大额的资金管理建议通过多签进行 —这适合公司或组织的资金管理 —个人资产也可以这样进行，比如你个人可以掌握多个私钥，并可给互不相识的朋友签名权，来防止你个人的私钥丢失造成资产不可找回 ·CEX，DEX网站地址要通过正规渠道获得，充币地址要反复确认，测试转账也是必要步骤。

Autore |.Hu Feitong

La sera del 3 maggio, ora di Pechino, una certa balena ha trasferito accidentalmente 1.155 BTC a un indirizzo di portafoglio di phishing, per un valore di circa 71 milioni di dollari in base al prezzo attuale della valuta. Una quantità così grande di finanziamenti è evaporata quasi istantaneamente, insegnando al settore una grande lezione.
﻿
Quello che è successo
﻿
Diamo prima un’occhiata a come si sono sviluppate le cose (3 maggio, che segue è l’ora di Pechino):
﻿
17:14:47, l'indirizzo del portafoglio 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 (whale) trasferisce 0,5 ETH all'indirizzo 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91 e crea l'indirizzo;
﻿
17:17:59, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 indirizzo del portafoglio (hacker) ha trasferito 0 ETH a 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 indirizzo del portafoglio
﻿
18:31:35, 0x1E227979F0B5BC691A70DEAED2E0F39A6F538FD5 (balena gigante) Digita il contratto WBTC in 0xd9A1C378881257612E2581A6EA0ADA244853A91 WBTC;
﻿
Il 4 maggio alle 10:51:11, l'indirizzo 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 (hacker) ha trasferito tutti i WBTC al nuovo indirizzo: 0xfB5bcA56A3824E58A2c77217fb667AE67000b7A6
﻿
Potresti non capire cosa sta succedendo qui, quindi spieghiamolo dal punto di vista di un hacker:
﻿
L'hacker ha continuato a monitorare le attività della balena sulla catena; al crepuscolo del 3 maggio si è scoperto che la balena aveva creato un nuovo indirizzo. Gli hacker sono entrati in azione;
﻿
Con la forza bruta e la generazione casuale di chiavi private e indirizzi, possiamo ottenere un indirizzo simile all'indirizzo appena generato della balena gigante (i lettori sono pregati di controllare attentamente le parti rosse dei due indirizzi nei passaggi 1 e 2 sopra, sono esattamente le stesso, ma diverso in altri luoghi). E trasferisci 0 ETH alla balena attraverso l'indirizzo generato, con lo scopo di generare una cronologia delle transazioni nel portafoglio della balena, che contiene l'indirizzo di phishing 0xd9A1C3788D81257612E2581A6ea0aDa244853a91;
﻿
Dopo che la balena ha confermato che il suo indirizzo aveva ricevuto 0,5 ETH, ha iniziato a trasferire WBTC al nuovo indirizzo. In questo momento si è verificato un errore fatale. La balena gigante ha trovato nella cronologia dei trasferimenti un indirizzo che aveva lo stesso numero dell'indirizzo di destinazione, lo ha copiato e incollato e ha inserito per errore l'indirizzo di phishing;
﻿
L'hacker ha monitorato il suo indirizzo di phishing ed è stato sorpreso di trovare un "enorme raccolto": 1.155 BTC. Probabilmente uscirò subito a festeggiare, berrò una birra, dormirò un po' e poi trasferirò WBTC a un altro nuovo indirizzo.
﻿
Illuminismo
﻿
Hai notato un problema? Dai un'occhiata alla sequenza temporale. Dopo che la balena ha generato un nuovo indirizzo, l'hacker ha preparato l'indirizzo di phishing e ha completato il trasferimento alla balena in circa 3 minuti. Ciò illustra diversi punti:
﻿
a. Gli hacker sono preparati da molto tempo, comprendono chiaramente l'intero processo, gli script sono pronti e l'intero processo è automatizzato;
﻿
b. Gli hacker hanno una maggiore potenza di calcolo L'indirizzo generato qui include i 5 byte specifici che sono esattamente gli stessi (i due byte iniziali e gli ultimi tre byte), ovvero quasi 2 ^ 40 operazioni. Le GPU sono sicuramente necessarie, e in grandi quantità;
﻿
c. Pertanto, probabilmente non si tratta di un comportamento individuale, ma di un comportamento organizzato
﻿
Blockchain porta la decentralizzazione, elimina gli intermediari, controlla la tua ricchezza e gli individui possono controllare i propri dati. Tuttavia, ciò richiede anche che tu prenda il controllo della tua sicurezza. I requisiti per la consapevolezza della sicurezza personale e la conoscenza della sicurezza sono molto elevati.
﻿
Questa balena gigante ha un forte senso di sicurezza, che si riflette in: 1) Cambia indirizzo di tanto in tanto 2) Testa e conferma prima di trasferire grandi importi; Tuttavia, un copia e incolla distrugge tutto.
﻿
Alcune nozioni di sicurezza sui trasferimenti
﻿
Attraverso questa lezione da oltre 70 milioni di dollari USA, ogni detentore di beni digitali dovrebbe essere consapevole che gli hacker e il phishing sono ovunque e che tu sei la prima e unica persona responsabile della tua proprietà. È necessario padroneggiare un po' di buon senso in materia di sicurezza. Ecco alcune opzioni di sicurezza del portafoglio per risorse più grandi come riferimento:
﻿
·La chiave privata e la frase mnemonica devono essere generate offline e salvate offline.
﻿
—La maggior parte dei portafogli ora dispone di funzionalità di firma offline;
﻿
—Puoi anche utilizzare un portafoglio hardware, ma quando usi un portafoglio hardware, devi anche eseguire il backup della chiave privata.
﻿
·Se sospetti che la chiave privata o la frase mnemonica possano essere esposte, sostituiscile al più presto possibile e trasferisci le risorse
﻿
·L'indirizzo di trasferimento deve essere memorizzato nella rubrica e annotato. Non copiare l'indirizzo temporaneamente.
﻿
·Per trasferire denaro, seleziona un indirizzo dalla rubrica e assicurati di eseguire un trasferimento di prova, quindi conferma l'esito positivo con il destinatario prima del trasferimento.
﻿
·I trasferimenti di grandi dimensioni possono essere effettuati in più rate
﻿
·Non fare clic direttamente sul collegamento di trasferimento inviato dall'altra parte per trasferire denaro o effettuare transazioni online
﻿
—Il phishing viene spesso effettuato creando collegamenti o indirizzi simili
﻿
·Si consiglia di gestire quantità maggiori di fondi tramite firma multipla
﻿
—Questo è adatto per la gestione del denaro di un'azienda o organizzazione
﻿
—Anche i beni personali possono essere elaborati in questo modo. Ad esempio, puoi padroneggiare personalmente più chiavi private e concedere diritti di firma ad amici che non si conoscono per evitare la perdita delle tue chiavi private personali e l'irrecuperabilità dei tuoi beni.
﻿
·Gli indirizzi dei siti web CEX e DEX devono essere ottenuti attraverso canali formali, gli indirizzi di deposito devono essere confermati ripetutamente e anche i trasferimenti di prova sono passaggi necessari.

Scopri di più dal Creator

Ultime notizie