文|腾讯黑镜 十四
Web3.0中,区块链是至关重要的基础体系!而Web2.0中的经典安全问题也渐渐在3.0中出现!
今天圣诞节时,笔者发现一个十分有趣的骗局,不仅钱没了,而且坏人还永远也抓不到,近一个月里已经有500多人上当,目前总计10个以太坊(约25万元)被钓走。
众所周知,在区块链中并没有所谓真人实名与账号密码的逻辑,地址本位与人本位,这也是web3.0和web2.0产生基础技术层差异的原因之一。
区块链上钱包只靠公私钥来证明所有权。
公钥就是地址,注册一个以太坊钱包后,完成一笔交易,就会将你的地址永久的暴露在公链上。
而要对此钱包进行操作,比如转账给别人,就必然需要私钥。
图源网络
如果你同时得到了公钥和私钥,就等于在web2.0传统互联网中拥有一个身份证明,类似于你拿到了账号密码,并且拥有手机号和人脸等验证信息。
# 那这个骗局是什么呢?
首先,这是一个以太坊的钱包地址:
0xb89d8a7c56241b550A6f8a0938BBBB2E2fe3166F
他的私钥则是:
0x8f43c62fd4a9ba481cddcab45fe98e5b4a0c560105bf2682faf3e966b0681ee6
天呐,这可是私钥!等同于你银行卡账号和密码!
可以通过etherscan(官方区块链数据查询网站)上查到,这个地址确实确实有30万USDT(等价于30万美元),约等于超过200万元的人民币。
这时你下意识地想一下?我岂不是可以直接转走这笔钱?
当然,不仅你想到了,而且已经有很多人这么尝试了。
这里每个“in”都代表,有个可怜的孩子进行了尝试转出的操作,我要转出去那为何是“in”呢,因为以太坊上任何交易都需要支付eth作为手续费,然而从前面的图1可以看出此地址是没有eth的,所以要转出里面的usdt(等价于美元)就需要先“转入”一定量的eth作为gas费(手续费)。
然而你会发现,上图中的每个in之后,几乎很快几秒后就会有一笔out将这笔gas费用转走。
01
转入手续费
02
秒转出
03
新的鱼上钩
04
转入手续费
05
秒转出
如此循环反复,自地址被曝光后,已产生了1600多笔交易,而且有很多地址在重复打钱……
额,可能是他们觉得之前的手续费不够才导致的转账失败吧
算了下分布,多数还是1-2次就及时悬崖勒马,最离谱的哥们转入了29次,有的最高一次性转入0.3个eth,这可是6000多块的人民币!
目前该骗局导致损失已达10个以太坊(约合25万元人民币)。但其实这个陷阱地址在一个月以前就逐渐曝光,流传在各个私域中,直到圣诞节才爆发出来,下图为每日此地址转入交易次数。
咱们继续衍生探讨三个问题:
1. 获得私钥真能转走这30万刀吗?
2. 转走与否和我手速快慢有关系吗?
3. 谁是最终受益者,他赚了多少?
# 公私钥都有真能转走这30W刀吗?
其实此地址有显著标识,被限制了泰达币(USDT)交易,不过在以太坊中交易分2种。
第一种:交易以太坊(ETH)
第二种:交易其他token(也就是各种组织发行的币,USDT也是一种token)
前者只通过ETH支付手续费即可,后者则是将交易请求发送到对应token的智能合约代码里。
历史上,以太坊的交易发生过重大BUG,导致大量以太坊被黑客转走(ps:区块链中的直接操作都和钱有关,所以web3.0其安全会更重要!)
而这次其钱包地址里的USDT则是一种稳定币,他已经被USDT官方列入合约禁止交易的黑名单中,目前为止,其黑名单仅有576个地址。其中还包括一些曾经著名的黑客地址。
所以,即使打入了交易手续费他也不会被转走,因为从USDT这个token的官方合约中,已经明确限制其交易了,可查看以太坊上USDT的智能合约代码:
地址:
0xdac17f958d2ee523a2206206994597c13d831ec7
# 转走与否和我手速快慢有关系吗?
假定不存在上面的黑名单限制,那我操作的够快就能够转走他吗?
答案是,有人能转走,但是与你的手速无关,因为别人用的脚本,所以“人机对抗”在Web3.0中依旧是个棘手的问题。
可以理解为,传统中心化金融,是一笔交易发来,由银行的服务器的队列确认这笔交易,完成对账即可完成交易,所以抢红包之类的玩法确实依赖于手速,是统一发布、先到先得的。
但区块链上的交易要被记录确认执行,依赖于超过半数的遍布全球的节点(也就是矿工)确认这笔交易,并计入到区块账本中才算生效。
由此处于中间人的矿工,就能在还未确认交易的情况下,最先知道有了这笔交易。
所以从上图中看到,每笔交易几乎都是在下一个区块就被记录了转出。
除了矿工可以更快的监听得知此交易,并做下一步的策略,还有谁?
毕竟矿工操作是在下一个区块,能否在一个区块里直接完成,打入gas(交易手续费)+转走的操作?
这也有的,类似于Flashbots的技术能够做到。
实现的效果就类似于下图,比矿工更快。
当然由于USDT本身合约里已经有黑名单机制了,由USDT的管理员可以增加黑名单列表,这也意味着即使在去中心化的区块链体系下,也依旧存在中心化的管理。
# 谁是最终受益者,他赚了多少?
其实目前的得到受益的地址仅有44个,而且只有早期做对此地址做监听转出的,才得到了较高的真实受益!因为在以太坊区块链上,交易并发量级qps是非常低的,大概一秒全网只能进行50笔交易,如果有一笔交易想要快速被完成记录到账本中,则是按照交易手续费排序,越高则越有可能先被完成。
从下图可以看出只有早期进行监听的才有较高的收益率,12月后转出收益率基本都在1%以下,即里面总计有100块的情况,支付了99块作为交易手续费,以确保能赚到这1块钱。
甚至还发现了大量 0 ETH转出的交易,将全部余额都作为交易手续费,当竞争到最后,干脆来个自爆炸弹,谁也别想拿走!
# 划重点
你发现了一个天降的30万刀的钱包公私钥,仿佛一个诱人的馅饼,其实只是一个鱼饵,以后此地址还会不断被传播,利用信息差, 终究不断有人上当(截止发稿,一天里又新增了100多笔交易)。
而且此骗局还在不断被传播,并且其收益陷入了各家脚本之间的人机对抗 – > 机机对抗。
那未来这30万刀是否会被转出呢?
有这个可能,因为区块链上空间虽然是无限的,但是执行交易是需要支付gas费,而这个gas对于每个合约是有限制的,所以当黑名单占用空间越大,gas费越贵最终可能超过导致查询黑名单失败,那这30W刀将不受限制的转出。
当然未来可能会有更多安全补丁来解决这个隐患。
结语
回顾本文,从区块链公私钥开始,以技术视角讲述了骗局的前因后果。
但从文中“USDT官方列入合约禁止交易的黑名单”可以看到,整个虚拟货币还是需要一个“中心”去制定货币交易规则,这和其自身倡导的“去中心化”矛盾。
从区块链底层展开分析,无论是矿工节点的被广播的信息优先机制,还是依据手续费高低优先确定交易机制等等,以区块链技术为基础的Web3.0时代,也将改变Web2.0互联网服务中的至关重要的时间顺序概念。
不可抗拒的是,web3.0 的时代正在到来,伴随在区块链上的安全隐患,也需要逐渐重视起来。
话说,下篇准备写《在“元宇宙”中基于区块链的秒杀抢购会发生什么》,各位看官觉得如何?催更请转评赞素质三连
参考资料
[1]https://en.bitcoin.it/wiki/Private_key
[2]https://etherscan.io/address/0xb89d8a7c56241b550A6f8a0938BBBB2E2fe3166F
[3]https://ethereum.org/en/developers/docs/evm/
[4]https://mirror.xyz/dfarm.eth/tYE_xzUJSaP2N_NElM0gpOmzZonb75EdC4QTiu0FK1M
[5]https://marketswiki.com/wiki/Tether_(USDT)#Blacklisting
腾讯安全平台部成立于2005年,业务体系主要聚焦于四大领域的工程和研究工作,包括黑客攻防领域的基础安全,黑灰产对抗的业务安全,安全算力算法的平台构建,以及AI安全攻防研究。这里有一群热爱安全、热爱技术的人,我们在这里实现技术人生的追求和梦想。
欢迎扫码关注
原文始发于微信公众号(我在鹅厂做安全):拿着!这张卡里有200万,账号密码都给你!
