在7月31号至8月1号以太经典受到黑客的51%链攻击。在本文中,我们将分析这两次攻击期间的交易链的分叉情况。 关键要点:攻击者在此次攻击中花费了807,260 ETC(560万美元),花费了17.5 BTC(19.2万美元)来获得攻击的哈希值。攻击者还获得了13K ETC作为区块挖掘奖励,我们没有将其计入两次花费。 从重组链和非重组链收集数据 我们在Bitquery中基于Open Ethereum软件从Ethereum Classic节点收集数据。正如它出现在分叉之后一样,该软件有一个bug,区块链重组超过某个特定的程序段号。我们保留了所有数据,包括在重组发生后由其他矿工在Open Ethereum软件上开采的一系列区块。 看来要赶上重新排序的链的唯一方法是转移到其他节点软件,我们选择了Geth。但是在此之前,我们将未重组链的所有数据存储在单独的数据库中,以备将来分析。 在Geth节点同步之后,我们从块10904146开始重新索引数据,在块10904146开始进行重组。 我们现在有了两个数据集,我们在Bitquery Explorer接口和GraphQL API中公开了这些数据集: 来自Open Ethereum节点的非重组链(每个矿工都在该节点上工作) 从Geth节点重组链(受攻击的对象起作用) 这些数据集在区块10904146之前具有完全相同的数据,并且差异从下一个区块开始。例如比较下一个区块10904147:  10904147(非重组链)  10904147重组链 通常,您可以使用以下格式的URL: https://explorer.bitquery.io/ethclassic查询重组的链(当前接受的链,以及带有攻击者挖掘块的链) https://explorer.bitquery.io/ethclassic_reorg查询未重组的链(带有被丢弃的区块的链) 链中的这些区块有几个不同之处: 1. 高度相同,但哈希不同,因为这些区块的内容不同。 2. 父哈希值是相同的,因为它们指向了从中开始分叉的同一原始区块(10904146) 3. 矿工是不同的。重组链的矿工是攻击者,0x75d1e5477f1fdaad6e0e3d433ab69b08c482f14e,他在12小时内挖出3500多个区块以执行重组。未重组链的矿工是一些常规矿工,由于他们不知道攻击者的存在,所以像往常一样挖矿。 4. 在重组和非重组链中,不仅区块,交易,转移,智能合约和事件也有所不同。 让我们看看攻击者的挖矿活动。 攻击者的挖矿活动 攻击者设法从10904147到10907761的高度插入区块。在10907761区块之后,他继续挖掘一些区块,但这并没有造成重大重组。可以在以下位置查看攻击者的活动:  攻击者的挖矿活动 攻击者4天内总共挖掘了4280个区块。请注意,他在攻击之前只进行了一点挖掘,在攻击之后停止了挖掘。这不是普通矿工的行为。
结果,矿工将所有的采矿奖励金(13K等)发送到了地址: 0x401810b54720faad2394fbe817dcdeae014066a1
攻击时间线 根据我们的调查,攻击者执行了以下操作来执行51%的攻击: 1. 7月29日至31日。攻击者从交易所提取约807K的ETC到几个钱包。 2. 7月31日16:36。攻击者通过从Nicehash提供者daggerhashimoto以双倍价格购买哈希功率来开始挖掘区块。挖矿的总成本约为17.5 BTC(〜192,000美元) 3. 7月31日17:00–17:40。攻击者将钱汇入链自己的钱包,并将这些交易插入正在挖掘的区块中。之所以没有人发现这些交易,是因为攻击者没有把这些区块宣布出去。 4. 7月31日18:00 – 8月1日2:50 UTC。攻击者使用未重组链上的中间钱包将钱转回交易所,每个人都可以看到。在此期间,攻击者有足够的时间将这些货币转换为美元,然后进行提取或购买BTC。攻击者将操作拆分开多个阶段,对网络攻击持续长达12个小时,以避免被任何人怀疑。 5. 8月1日4:53。攻击者使用在步骤3中创建的交易账本并在全网发布,并执行链重组。这意味着将步骤4的事务替换为步骤3的事务。 现在,让我们看一下这些步骤的详细信息,以及矿工如何能够获得超过807K ETC(560万美元)的收入。 攻击者插入的交易(经过重组的链) 在攻击过程中,该矿工仅插入了11笔交易。这可能导致了“违规矿工在挖矿时暂时无法访问互联网”的原因。值得注意的是,这些交易没有被发送到其他矿工的事务存储池(mempool)。所以他们不会被网络中的其他矿工开采。 看一下这些交易:  ETC攻击者挖掘的交易 请注意,前五笔ETC交易金额较高。让我们逐一检查这些交易。 第一次交易(值353005 ETC)(Tx)  第二次交易(价值77955 ETC)(TX)  第三笔交易(价值194100 ETC)(TX)  第四笔交易(价值97710 ETC)(TX)  第五笔交易(价值:84490 ETC)(TX)  比较这些事务,您会注意到以下模式: 1. 金额以数千为单位的ETC 2. 所有交易均源自地址0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f 3. 从攻击开始前的7月1日(即7月1日)开始,所有交易都在40分钟内完成。 钱包准备好执行51%的攻击 要执行51%的攻击,攻击者必须将钱存放在他/她控制的钱包中。有5个地址在攻击前已准备好余额: 1. 0x439ff9e3a81a4847d0c2041c06e5a272883f69f2,在2020年7月29日至30日的22笔交易中从0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f接收了353K ETC 2. 0x9ac1785943ead4dafb2198003786b4b29143f081,在2020年7月30日至31日的7笔交易中从0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f收到了78K ETC 3. 0xad599aa123c2b5b00773b9bfadacf8c3e97ea72d,在2020年7月30日至31日的16笔交易中从0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f收到了194K ETC 4. 0xda88ea478545581eafffa3598fd11fc38f13c508,在2020年7月30日至31日的7笔交易中从0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f收到了9.77万ETC 5. 0x305292887ad1ffa867e8564c804575f3d7a19a1f,在2020年7月30日至31日的5笔交易中从0x63a8ab05ae4a3bed92580e05e7dce3b268b54a7f收到了84K ETC 总的来说,在攻击之前,这些地址上的ETC总值约为807,000 ETC(560万美元)。 非重组链中的交易 攻击开始时,没人知道它,因为攻击者没有发布任何块。但是攻击者创建了私人交易,我们将其记录在第二个数据集中(未重组的链)。 这张图展示了我们之前提到的地址,显示了攻击者如何从交易所中取出钱到他/她自己的钱包中,然后再将钱转回交易所。
(责任编辑:admin1) |
