作者 |  胡飞瞳

北京时间 5 月 3 日晚,某巨鲸由于操作不慎误转 1155 个 BTC 到钓鱼钱包地址,按当时币价计算,价值约七千一百万美金。如此大数额的财务几乎是瞬间蒸发,给业界一个大大的教训。

事情经过

我们首先来看事情的发展经过(5 月 3 日,以下为北京时间):

17:14:47,0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 钱包地址(巨鲸)向 0xd9A1b0B1e1aE382DbDc898Ea68012FfcB2853a91 地址转账 0.5 ETH,并创建该地址;

17:17:59, 0xd9A1C3788D81257612E2581A6ea0aDa244853a91 钱包地址(黑客)向 0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 钱包地址转账 0 ETH

18:31:35,0x1E227979f0b5BC691a70DEAed2e0F39a6F538FD5 (巨鲸)通过调用 WBTC 合约向 0xd9A1C3788D81257612E2581A6ea0aDa244853a91地址转账 1155.28802767 个 WBTC;

5 月 4 日 10:51:11,0xd9A1C3788D81257612E2581A6ea0aDa244853a91(黑客)地址转移全部 WBTC 至新地址:0xfB5bcA56A3824E58A2c77217fb667AE67000b7A6

这里转来转去大家可能看不明白,从黑客的角度解说一下:

黑客在链上持续监视此巨鲸的活动;在 5 月 3 日黄昏发现此巨鲸创建了一个新的地址。黑客马上采取行动;

通过暴力随机生成私钥和地址,来获得与巨鲸新生成地址相似的地址(请读者仔细检查上面 的第 1,2 步两个地址被标红的部分,完全一样,但其他地方不同)。并通过生成的地址给巨鲸转移 0 ETH,目的是在巨鲸的钱包中产生一条交易历史,其中包含钓鱼地址0xd9A1C3788D81257612E2581A6ea0aDa244853a91;

巨鲸确认自己的地址收到 0.5 ETH 后,开始转移 WBTC 至新地址,此时,致命的错误发生了。巨鲸在转账历史中找到前后地址数字与自己目标地址相同的地址复制黏贴,错误地把钓鱼地址输入了;

黑客监测自己的钓鱼地址,惊喜地发现取得“巨大收获” – 1155 BTC。估计马上出去庆祝,喝完啤酒,睡了一觉后,再把 WBTC 转移至另一个新地址。

启示

大家有没有注意到一个问题,注意看一下时间线,在巨鲸生成新地址后,黑客在 3 分钟左右就准备好钓鱼地址,并完成给巨鲸的转账。这说明几点:

a.黑客早有准备,整个过程了然入胸,脚本早就准备好了,整个过程是自动化;

b.黑客掌握较大的算力,这里生成的地址包括特定的5个字节完全一样(前导两个字节和最后三个字节),也就是差不多 2^40 的运算量。GPU 肯定是要的,而且要大量的;

c.因此,这个多半不是个人行为,而是有组织的行为

区块链带来了去中心化,消除了中间人,自己掌握自己的财富,个人也可以自己掌握自己的数据。但是,这也要求自己掌握安全。对个人的安全意识和安全知识要求就非常高了。

这位巨鲸,他有很强的安全意识,这体现在:1)他隔一段时间更换地址;2)大额转账前先进行测试和确认。但是,百密一疏,一个复制黏贴毁掉所有。

一些转账的安全常识

通过这个超过 7 千万美元的教训,每一个数字资产的持有人都应该警醒,黑客和钓鱼无处不在,你是你财产的第一负责人,也是唯一负责人。一些安全常识一定要掌握。这里列出一些对于较大额资产的钱包安全,供大家参考:

·私钥和助记词一定离线生成,并离线保存。

—现在大多数钱包都有离线签名功能;

—也可以采用硬件钱包,但使用硬件钱包时,也要备份好私钥

·一旦怀疑私钥或助记词可能暴露,要尽快更换,并转移资产

·转账地址要存入地址簿,并做好备注,不要临时拷贝地址

·转账从地址簿选择地址,并一定要做测试转账,与接收方确认成功后再转

·大额转账可分多次进行

·不要直接点击对方发过来的转账链接进行转账或网上交易

—钓鱼往往伪造相似链接或相似地址进行

·更大额的资金管理建议通过多签进行

—这适合公司或组织的资金管理

—个人资产也可以这样进行,比如你个人可以掌握多个私钥,并可给互不相识的朋友签名权,来防止你个人的私钥丢失造成资产不可找回

·CEX,DEX网站地址要通过正规渠道获得,充币地址要反复确认,测试转账也是必要步骤。

阅读原文

https://www.wublock123.com/index.php?m=content&c=index&a=show&catid=47&id=26717

THE END