攻击者插入的交易(经过重组的链) 在攻击过程中。我们在Bitquery Explorer接口和GraphQL API中公开了这些数据集: 来自Open Ethereum节点的非重组链(每个矿工都在该节点上工作) 从Geth节点重组链(受攻击的对象起作用) 这些数据集在区块10904146之前具有完全相同的数据。 在7月31号至8月1号以太经典受到黑客的51%链攻击。在本文中,我们将分析这两次攻击期间的交易链的分叉情况。 关键要点:攻击者在此次攻击中花费了807,260 ETC(560万美元),花费了17.5 BTC(19.2万美元)来获得攻击的哈希值。攻击者还获得了13K ETC作为区块挖掘奖励,我们没有将其计入两次花费。 从重组链和非重组链收集数据 我们在Bitquery中基于Open Ethereum软件从Ethereum Classic节点收集数据。正如它出现在分叉之后一样,该软件有一个bug,区块链重组超过某个特定的程序段号。我们保留了所有数据,包括在重组发生后由其他矿工在Open Ethereum软件上开采的一系列区块。 看来要赶上重新排序的链的唯一方法是转移到其他节点软件,我们选择了Geth。但是在此之前,我们将未重组链的所有数据存储在单独的数据库中,以备将来分析。 在Geth节点同步之后,我们从块10904146开始重新索引数据,在块10904146开始进行重组。 我们现在有了两个数据集,我们在Bitquery Explorer接口和GraphQL API中公开了这些数据集: 来自Open Ethereum节点的非重组链(每个矿工都在该节点上工作) 从Geth节点重组链(受攻击的对象起作用) 这些数据集在区块10904146之前具有完全相同的数据,并且差异从下一个区块开始。例如比较下一个区块10904147: 10904147(非重组链) 10904147重组链 通常,您可以使用以下格式的URL: https://explorer.bitquery.io/ethclassic查询重组的链(当前接受的链,以及带有攻击者挖掘块的链) https://explorer.bitquery.io/ethclassic_reorg查询未重组的链(带有被丢弃的区块的链) 链中的这些区块有几个不同之处: 1. 高度相同,但哈希不同,因为这些区块的内容不同。 2. 父哈希值是相同的,因为它们指向了从中开始分叉的同一原始区块(10904146) 3. 矿工是不同的。重组链的矿工是攻击者,0x75d1e5477f1fdaad6e0e3d433ab69b08c482f14e,他在12小时内挖出3500多个区块以执行重组。未重组链的矿工是一些常规矿工,由于他们不知道攻击者的存在,所以像往常一样挖矿。 4. 在重组和非重组链中,不仅区块,交易,转移,智能合约和事件也有所不同。 让我们看看攻击者的挖矿活动。 攻击者的挖矿活动 攻击者设法从10904147到10907761的高度插入区块。在10907761区块之后,他继续挖掘一些区块,但这并没有造成重大重组。可以在以下位置查看攻击者的活动: 攻击者的挖矿活动 攻击者4天内总共挖掘了4280个区块。请注意,他在攻击之前只进行了一点挖掘,在攻击之后停止了挖掘。这不是普通矿工的行为。 结果,矿工将所有的采矿奖励金(13K等)发送到了地址0x401810b54720faad2394fbe817dcdeae014066a1 攻击时间线 根据我们的调查,攻击者执行了以下操作来执行51%的攻击: 1. 7月29日至31日。攻击者从交易所提取约807K的ETC到几个钱包。 2. 7月31日16:36。攻击者通过从Nicehash提供者daggerhashimoto以双倍价格购买哈希功率来开始挖掘区块。挖矿的总成本约为17.5 BTC(?192,000美元) 3. 7月31日17:00–17:40。攻击者将钱汇入链自己的钱包,并将这些交易插入正在挖掘的区块中。之所以没有人发现这些交易,是因为攻击者没有把这些区块宣布出去。 4. 7月31日18:00 – 8月1日2:50 UTC。攻击者使用未重组链上的中间钱包将钱转回交易所,每个人都可以看到。在此期间,攻击者有足够的时间将这些货币转换为美元,然后进行提取或购买BTC。攻击者将操作拆分开多个阶段,对网络攻击持续长达12个小时,以避免被任何人怀疑。 5. 8月1日4:53。攻击者使用在步骤3中创建的交易账本并在全网发布,并执行链重组。这意味着将步骤4的事务替换为步骤3的事务。 现在,让我们看一下这些步骤的详细信息,以及矿工如何能够获得超过807K ETC(560万美元)的收入。 攻击者插入的交易(经过重组的链) 在攻击过程中,该矿工仅插入了11笔交易。这可能导致了“违规矿工在挖矿时暂时无法访问互联网”的原因。值得注意的是,这些交易没有被发送到其他矿工的事务存储池(mempool)。所以他们不会被网络中的其他矿工开采。 看一下这些交易: ETC攻击者挖掘的交易 请注意,前五笔ETC交易金额较高。让我们逐一检查这些交易。 第一次交易(值353005 ETC)(Tx) 第二次交易(价值77955 ETC)(TX) 第三笔交易(价值194100 ETC)(TX) 第四笔交易(价值97710 ETC)(TX) 第五笔交易(价值:84490 ETC)(TX) 比较这些事务,您会注意到以下模式: 1. 金额以数千为单位的ETC 2. 所有交易均源自地址0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f 3. 从攻击开始前的7月1日(即7月1日)开始,所有交易都在40分钟内完成。 钱包准备好执行51%的攻击 要执行51%的攻击,攻击者必须将钱存放在他/她控制的钱包中。有5个地址在攻击前已准备好余额: 1. 0x439ff9e3a81a4847d0c2041c06e5a272883f69f2,在2020年7月29日至30日的22笔交易中从0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f接收了353K ETC 2. 0x9ac1785943ead4dafb2198003786b4b29143f081,在2020年7月30日至31日的7笔交易中从0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f收到了78K ETC 3. 0xad599aa123c2b5b00773b9bfadacf8c3e97ea72d,在2020年7月30日至31日的16笔交易中从0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f收到了194K ETC 4. 0xda88ea478545581eafffa3598fd11fc38f13c508,在2020年7月30日至31日的7笔交易中从0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f收到了9.77万ETC 5. 0x305292887ad1ffa867e8564c804575f3d7a19a1f,在2020年7月30日至31日的5笔交易中从0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f收到了84K ETC 总的来说,在攻击之前,这些地址上的ETC总值约为807,000 ETC(560万美元)。 非重组链中的交易 攻击开始时,没人知道它,因为攻击者没有发布任何块。但是攻击者创建了私人交易,我们将其记录在第二个数据集中(未重组的链)。 这张图展示了我们之前提到的地址,显示了攻击者如何从交易所中取出钱到他/她自己的钱包中,然后再将钱转回交易所。 请注意,攻击者进行的传输的图形,您必须通过双击扩展地址才能获得此图片。 将未重组链和重组链的数据结合起来,我们可以看到,在非重组链中,看到资金回到交易所: 攻击前,钱从地址0x63a8提取到5个不同的地址。我们认为0x63a8是交易所钱包。 在攻击期间,这笔钱通过1-3个中间地址被退回交易所0x63a8。 结果,从交易所0x63a8取出的所有资金都回到了交易所0x63a8,这些交易被确认,因为没有人知道正在遭受的攻击。 例如下面的事务显示了攻击者是如何将钱分一小部分转回交易所的: 这在未重组的链中可见,这些交易的有效期至少为12小时,而矿工则私下创建了新区块。 结果攻击者成功地对以太经典版实施了51%的攻击,从而获得了807K ETC加上采矿奖励(13K ETC)。总共大约是 $ 5,650,820。远远超过花在挖矿上的钱(19.2万美元)。 攻击者双花了ETC 攻击者现在利用他/她的钱包中剩余的ETC进行双花。在这里,我们看到了对许多地址和多跳传输进行拆分的典型模式。 然而,利用我们的Coinpath?技术,我们追踪了双花使用的ETC。截至撰写时间的当前分布为: 从0x1e3a5208db53be56b6340f732ec526b4bdc37981地址开始的Coinpath API报告 识别交易所 我们不知道地址0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f的确切所有者,但是我们非常有信心肯定这是一个加密交易所,因为交易量和其他行为方式非常多。 我们可以猜测的是,该地址属于OKEx交易所或其分支机构。以太坊主网中的同一地址与OKEx钱包有很多相关活动。 所有转账都是通过OKEx其他钱包进行的 -------------------------------------- 原文作者:ALEKSEY STUDNEV 译者:链三丰 译文出处:http://bitoken.world -------------------------------------- 本文来源:陀螺财经 —- 编译者/作者:陀螺财经 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
揭露ETC的51%攻击者的操作行为,如何盗取总价值807K的ETC
2020-08-18 陀螺财经 来源:火星财经
LOADING...
相关阅读:
- 在两次大规模的51%攻击之后,ETC在OKEx上退牌2020-08-18
- 货币比特币 (Bitcoin) 比特币的数量达到2100万的上限后可能发生什么事情2020-08-18
- 以太坊2.0在其测试网络中发现了一个错误2020-08-18
- 币圈丽姐:BTC五分钟上下600个点走出插针步伐长线布局已开启2020-08-18
- 比特币哈希率在周末打破新纪录2020-08-17