以太坊天价手续费转账真相：韩国资金盘项目GoodCycle遭勒索攻击

上周以太坊链上连续发生3起天价手续费转账事件，引发业界广泛的讨论和猜测。

PeckShield 安全团队旗下可视化资产追踪平台 CoinHolmes，基于已有的超7,000万+地址标签，迅速定位到 0xcdd6a2b 开头的地址所属为某一交易所热钱包，而且发生两次异常转账的原因很可能是其遭遇了一次黑客精心策划的 GasPrice 勒索攻击。

PeckShield从 0xcdd6a2b 地址关联的 0x12d8012 和 0xe87fda7 开头的地址为突破口，进一步展开深入搜索和追查。终于，终于，我们发现 0xcdd6a2b 开头的地址所属为一家韩国名为 Good Cycle 的小型交易所。

为了验证这一推论的准确性，PeckShield 安全人员注册了该交易所，并向该交易所提供的 0x46d3be 开头的充值地址，分三笔共计转入了0.5个 ETH，之后这三笔交易被汇聚转入了 0xcdd6a2b 开头的热钱包地址（如下图所示），至此，受害交易所的身份可算是水落石出了。

（Good Cycle 交易所充值地址及链上热钱包汇聚地址情况）

据 Good Cycle 官方称，这是一家刚刚于05月25日上线的韩国小型 P2P 交易所。上线半个月以来，该交易所就拥有了用户量6,151人，交易量6,399次，共计交易额63,187.9674个 ETH。之所以如此受欢迎，是因为其参与门槛低，只需要最低100美元就可参与，参与后便可获得高额的投资回报。

这样一来，我们疑惑的问题就不难理解了，原来这是一家主打理财庞氏骗局的交易所。

所以，黑客能相对容易地对入侵其服务器系统实施勒索攻击；

所以，遭到了巨额资产损失，项目方依然“隐忍”着无动于衷；

所以，仍然有不明真相的用户，继续做着自己的投资发财梦；

所以，黑客精心策划的勒索攻击阴谋，有很大概率是得逞了。

我们从庞氏骗局设计者的视角再回头看看一切：这损失的区区3,700万元只能算是出师不利，一个优秀的资金盘项目拥有数亿甚至数十亿体量都不在话下，眼下最好的策略莫过于接受黑客的勒索谈判或者说遮盖事实，一切待从长计议，从长计议，从长计议。

其官网并没有任何关于这两次异常转账事件的解释，而只是发通知称将于06月18日，进行系统升级以增强安全性。

Good Cycle 遭黑客勒索攻击可能性分析：

正如以上我们的猜测，黑客的勒索攻击过程很可能已经完成，该网站存在的代码漏洞也已做了升级，我们只好继续以技术推理来复现这次攻击的可能性实施过程，给广大吃高级瓜的群众们脑补下这背后的技术逻辑：

我们分析发现，Good Cycle 交易所网站基于 HTTP 协议，并未支持 HTTPS 加密协议访问，因此各种敏感信息皆以明文传输，很容易被黑客轻而易举实施钓鱼、中间人劫持等攻击：

1）可能攻击手段之一：用户在 Good Cycle 注册时的所有信息都是使用 HTTP并明文进行上传，很容易被人使用拦截工具进行拦截，如果用户的账户密码及 PIN 码被黑客拦截成功，黑客可以登录用户的账户进行提现，由于 Good Cycle 在登录及提现时未对账户进行二次验证，从而导致资产丢失。

2）可能攻击手段之二：每当用户创建新的账户时都会返回一个新的 ETH 充值地址，黑客可以对用户提交的创建地址请求进行拦截并加以更改，将用户的充值地址改成自己的账户，从而导致用户每次充值都被充值进黑客预先埋伏的账户。

3）可能攻击手段之三：黑客在得到用户的账户密码后，可以根据代码中的加密方法得到发送提现请求所需要的各种请求头，直接发送一个提现的请求并将提现地址改成自己的地址，从而实现对用户的账户进行攻击。

以上，我们不难看出，Good Cycle 交易所的安全防御措施极低，纵使是一名很普通的黑客，都很容易找到突破口实施攻击。当然，也不排除是因为开发人员的低级错误有意或无意导致的巨额交易费问题。但无论是“内忧”还是“外患”，用户资产受损已成既定事实。

PeckShield 在此提醒广大用户，应谨慎参与此类安防级别极低的项目，即使其营销模式再诱人，很可能因为安防风控不到位而遭遇灭顶之灾，而要为此付出代价的不是项目方，而是不明真相被蒙在鼓里的韭菜们。

原文链接：https://mp.weixin.qq.com/s/OYSo0UxbTGalVTiZQzhS2Q