以太坊天价转账背后：黑客发起的GasPrice勒索攻击？

听起来像轶事，但听起来像笑话。

大家可以看到，我们所处的区块链行业，总是有八卦和轶事，尤其是在当前行情横盘，市场情绪低迷的情况下。 不过，也有一些小道消息，大家看热闹，背后的门道却一清二楚，比如知名交易所与矿机厂商之间的各种恩怨情仇。

不过圈内还有一则轶事，大家津津乐道。 表面上看起来很简单，但背后的道理却很难理解。

2019年2月19日，以太坊链上出现了一笔仅0.1ETH的交易，但交易员给出了高达2100ETH的手续费。 以当时的ETH 969元计算，这次出乎意料的操作，打包了这笔交易的矿工收获了约200万元人民币的意外收获。

无独有偶，这两天又上演了类似的剧情，而且比上次更加疯狂魔幻：

6月10日17:47，0xcdd6a2b开头的地址向0x12d8012开头的地址转账0.55ETH，但转账手续费高达10668.73185ETH；

6月11日上午11时30分，0xcdd6a2b开头的地址再次向0xe87fda7开头的地址转账350ETH，转账手续费同样高达10668.73185ETH；

（两次异常转账，来源Etherscan）

经过这波风骚操作，以0xcdd6a2b开头的地址竟然在一天内挥霍了522万美元，总计约3700万元人民币。

意外汇款的 3 种常规可能性

这不禁让观众一头雾水。

我们不妨先从吃瓜群众的角度简单分析一下，发生这种事故的几种可能：

番外1）——“土豪的傻钱多”：任性的土豪转钱的时候手抖，哦，两次，才几千万，不值一提；

番外2）——“普渡众生大哥”：币圈神秘骨灰，在行情低迷时给大家发安抚补贴，随机给区块链社区默默做出突出贡献的矿工发红包励磁;

Extra Topic 3) - “Institutional Dark Money Laundering”：秘密洗钱集团招募并“买下”多个矿池进行非法洗钱活动；

以上三种可能，是普通人能够想到的，但仔细一看，其实可能性并不大。 前两个就不用说了，在这个到处都是陷阱、人人都是韭菜的圈子里，我已经失去了理智，真不愿意相信有这种可能。

（以太坊矿池算力分布，来源：Etherscan）

至于第三种可能，那就更加天方夜谭了。 我们发现，打包这两个异常交易的矿池分别是Spark Pool和Ethermine，这两个矿池当前算力占比分别为30.02%和21.43%。 也就是说，购买单个矿池最大可实现的中奖几率仅为1/3黑客以太坊私钥，要保证洗钱成功率达到99%以上，洗钱机构必须同时购买10个以上矿池时间。 在目前稳固的矿业共识下，这显然是一个梦，绝对不可能发生。

黑客发起的 GasPrice 勒索攻击？

抛开吃瓜级别的三大猜想，我们不妨从专业的角度梳理一下，这两次连续的异常转会背后究竟隐藏着怎样的诡计？

PeckShield安全团队旗下可视化资产追踪平台CoinHolmes基于对现有超7000万个地址标签和专业溯源追踪工具的深入分析发现：

1、我们要搞清楚0xcdd6a2b开头的地址是谁？ 经过分析，这个地址有很多进出账户，发现有一些小地址在和这个地址交互后被清空了。 CoinHolmes团队初步分析认为，该地址极有可能是某交易所的热钱包地址，其在链上的行为特征与我们识别的该交易所的热钱包地址特征高度匹配。 这意味着黑客以太坊私钥，这起搞笑事件背后隐藏的不是神秘土豪任性的笑容，而是无辜韭菜们无奈的哀嚎。

2、既然目标地址是交易所，为什么会无缘无故挥霍巨额资产？ 尤其是在当前中小交易所举步维艰的情况下，出现这种自杀式的行为，实在是很吊诡。 只有一种可能，除非交易所主体被黑客劫持。

思考过这种可能性后，我们发现异常转职的故事似乎有一个更合理化的情节：

1）地址为交易所的主体被黑客通过钓鱼等方式攻击，其部分权限被黑客获取，如：服务器管理权限等；

2）由于交易所私钥可以进行多重签名验证，黑客虽然掌握了服务器账户的权限，但无法完全控制私钥将巨额资产转移给自己。

3）但是黑客发现自己已经拥有向该地址授权的白名单转账的权限，因此黑客可以在权限不全的情况下实现二次转账；

4）不仅如此，黑客还发现他可以控制GasPrice权限，所以他无法带走这笔资产，但他可以想办法挥霍掉；

5）于是黑客发送了两笔异常转账，并向交易所发起勒索。 潜台词是，如果交易所不通过其他方式给黑客一定的赎金，黑客会进一步挥霍这笔钱（该地址目前还剩21000 ETH）；

6）由于交易所的服务器权限被控制，无法正常使用私钥权限，所以账户资金是被动的，没有办法及时将剩余资金转出止损。

至此，我们可以推测这两次异常转账背后的真相是：黑客对交易所发起的GasPrice勒索攻击。

需要提醒的是，受害者不必掉入黑客设计的勒索陷阱。

以去年2月发生的2100 ETH手续费转账事件为例。 最终的结果是，打包矿池星火矿池最终与转让方达成退款协议。 我们认为当务之急是受害者及时与打包交易的矿池取得联系。 在证明自己被胁迫的事实后，相信后续矿池会给出更合理的解决方案。

结语

以上只是根据链上数据和现有地址标签库得出的可能结果。 我们还在对相关地址进行进一步的分析、跟踪和调查，同时也在与矿池合作探索事情背后的原因。 真相。 最后需要特别声明的是，我们不能保证扣款100%准确，但如果有一点可能，就是敲诈勒索事件正在发生，可能会有进一步的危害。 在此，请广大受害人及时与我们联系。 取得联系，以便尽快查明事情的真相。 我们相信合众生态伙伴的力量，事情能够有一个比较乐观的结果。