揭秘 | 台湾MaiCoin交易所被盗事件分析
摘要: 交易所安全咨询公司 曲速未来 消息:数天前,有监控系统检测到重大盗币事件,经过分析发现,疑似台湾著名交易所MaiCoin被盗,损失金额高达5350ether,以现在的ether价格估算,折合新台币4800多万。
MaiCoin是台湾的一站式数字资产交易平台,可立即将即时货币兑换转换为比特币和莱特币,以实时提供最新的比特币,莱特币和以太币价格。它提供电子钱包服务,传输,接收和存储功能,安全方便,是台湾最大的数字资产交易平台。
该平台的传播是为了反映当前的市场状况和数字资产的全球流动性。除了为消费者提供使用比特币的服务外,MaiCoin还为商家提供不同类型的收集工具。只要您申请商家帐户,就可以使用适合您的业务类型的工具接受比特币的全球货币支付,而不会有任何比特币波动的风险。
数天前,有监控系统检测到重大盗币事件,经过分析发现,疑似台湾著名交易所MaiCoin被盗,损失金额高达5350ether,以现在的ether价格估算,折合新台币4800多万。
在Ethereum的网络生态环境中,一直存在着一大批恶意攻击者,通过JSON-RPC端口漏洞进行盗币。消息称通过蜜罐系统捕获了大量攻击者钱包地址,在对这些恶意地址的监控中,发现臭名昭著的地址:0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464(后文简称0x957)
在北京时间2018/8/31 12:40:57时,连续大量转入ether,总共59笔转账,总金额达5350 ether。所有转账transaction都打包在一个区块中,区块高度6244633。
可以看到攻击者为了让交易尽快打包,Gas Price设置非常高,为189 Gwei,同区块其他交易平均Gas Price为3Gwei左右,攻击者多付了60倍的矿工费用,这样能确保矿工优先打包这些盗币转账,不过即使这样,每笔转账实际手续费也才1.15美金,相对攻击者收益来讲是九牛一毛。
0x957是著名的利用JSON-RPC接口进行盗币的地址,不仅盗取ether,同时基于Ethereum的ERC20 token也在其狩猎范围之内。截止目前,该地址已经盗取44000多个ether,以及数量众多的ERC20 token,估算总价值超过1亿人民币。该地址拥有者同时还掌握一定矿池算力,专门打包Gas Price设置为0的盗币交易,用于盗取账户中无ether余额的ERC20 token。
从本次盗币行为来看,每笔交易转账ether金额为100(扣除交易费用,实际到账刚好99.996031),所有59笔转账被打包进一个区块中,侧面实证这些转账是由程序发起的,人工操作无法在20秒(Ethereum区块出块间隔时间10-20s)之内完成59笔转账操作。
另外,攻击者转账59次才将所有余额转走,而不是一次性转走所有余额,表明攻击者并没有拿到实际的钱包keystore文件。
以上种种迹象表明,本次盗币应该还是利用的JSON-RPC接口。攻击者为了获取最大的利益,并没有将所有余额一次性进行转账盗取,因为若钱包拥有者同时也在转账,可能就会导致余额不足,而攻击者的盗币转账行为就会失败。
攻击者采取了每次转账盗取数额限制,每次最大转出100 ether,而当被攻击的钱包余额小于100 ether时,则每次转账10 ether,这样的模式明显是攻击者在进行长期的盗币攻击实践中,所优化出来的的盗币转账方案,可以判断这是一个进行长期攻击并专精于此道的攻击者。
在有监控到异常事件后,就第一时间对被盗地址进行调查,最终发现被盗地址属于台湾著名交易所MaiCoin。多名用户曾在台湾“批踢踢實業坊”论坛中提及0xc3d9c17d7f6988c0fe7ebe929c47efccbd92be13地址是MaiCoin的热钱包,这也证实了调查结果。
然而在对MaiCoin的调查中发现,MaiCoin并未对外宣布钱包被盗一事,仅发布公告说由于系统架构升级,更新所有用户的以太坊充值地址。公告未提及其他虚拟货币如BTC、LTC钱包需要升级,说明其他币种钱包并未被盗。
交易所这一做法应该是为了保全平台信誉,选择暗地里全额补偿用户损失,这对用户来讲无疑算是一个好消息,相比之前被盗跑路的Mt.Gox和要求用户承担一定损失的Bitfinex,MaiCoin算是一个良心区块链交易所。
常见JSON-RPC被盗事件中,钱包主人在解锁钱包后,发起正常交易,然后攻击者也同时发起了盗币交易,此时会看到有多笔交易转向不同钱包地址,这是这种盗币方式的特点之一。
但在本次事件中并未发现这一特点,也就是说钱包解锁后并未发起正常交易;另外还有一种可能就是MaiCoin的热钱包为了方便用户提款,本身是无限期解锁状态,只是本身对外网络隔离,外网无法访问到钱包的RPC接口,由于网络管理员或其他人员误操作导致钱包RPC接口被暴露在公网,从而发生了这一悲剧。
如果本次盗币交易真如分析中所说的是由JSON-RPC接口导致的,那么交易所更换用户ether充值地址是没办法解决这个问题的,意味着MaiCoin依然存在风险。另外这是不是也意味着MaiCoin到现在也并未调查清楚他们的钱包是如何被盗的?
区块链技术带来了金融等行业的革新,但整个行业的安全仍处于刚刚起步的阶段,由于其天生匿名性引来了无数的恶意攻击者潜伏其中,稍有不慎就会引发极大的经济损失。
(作者:区块链安全档案,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)
评论(0)
Oh! no
您是否确认要删除该条评论吗?