外汇田燕APP News :上周以太坊连锁连续发生三起天价转会费事件，引起了业内的广泛讨论和猜测。 　　

　　

　　其中，以0xcdd6a2b开头的“神秘”地址仅用两笔小额转账就在两天内挥霍了3700万元，创造了以太坊连锁史上最高手续费纪录。 　　

　　

　　PeckShield安全团队旗下的可视化资产追踪平台CoinHolmes根据现有的7000多万个地址标签，迅速定位到以0xcdd6a2b开头的地址为某交易所的热门钱包，而两次异常转账的原因很可能是遭受了黑客精心策划的GasPrice勒索攻击。详见文章《以太坊天价手续费转账背后：一场黑客发起的GasPrice勒索攻击？》。 　　

　　

　　就连以太坊的创始人维塔利克也表示，受害者遭受了勒索攻击，并打算在EIP 1559提案中减少用户手动设置费用的需求，从而减少巨额转账费用的发生。 　　

　　

　　然而，随着进一步的分析，问题来了： 　　

　　

　　1)由于受害者是交易所，掌握着广大用户的资产，事件发生后，交易所并未发布公开声明提醒用户资产的安全风险。我们已经向星火池求证，受害人一直没有要求矿池返还资产。这不太合理。 　　

　　

　　2)两次异常转账后一两天内，在本交易所地址有大量取款需求。5000多个ETH被用户提现，但是提现需求很快就被堵死了，刚开始还不断有新的账户进来。 　　

　　

　　3)现在以0xcdd6a2b开头的地址上还有16810个ETH余额，而躲在暗处进行勒索的黑客们似乎已经停止了进一步作恶。难道他们已经达成协议了吗？ 　　

　　

　　至此，事情越来越有趣，越来越扑朔迷离。 　　

　　

　　但是，要搞清楚这个问题，还得进一步核实受害者交易所是谁。 　　

　　

　　谁是受害者交换？ 　　

　　

　　由于上一篇文章只是我们的技术分析和推理，不管是不是事实，在我们最初的假设中，以0xcdd6a2b开头的地址会试图与我们取得联系，或者应该一直向Spark Pool和Ethermine，即包装池方要求资金。然而，到目前为止，受害者交流并没有透露任何线索。 　　

　　

　　我们只好从与0xcdd6a2b地址相关的0x12d8012和0xe87fda7开头的地址作为突破口，进一步进行深入的查找和追踪。最后，最后我们发现，以0xcdd6a2b开头的地址属于一个叫Good Cycle的韩国小交易所。 　　

　　

　　为验证这一推断的准确性，PeckShield安全人员对交换机进行了注册，并向交换机提供了以0x46d3be开头的充值地址，分三批转入0.5 ETH。之后这三笔交易都被转到了以0xcdd6a2b开头的热钱包地址(如下图所示)。至此，受害者的身份交换可以算是明确了。 　　

　　

　　据好循环官方介绍，这是韩国一家小型P2P交易所，5月25日刚刚上线。上线半个月后，该交易所已有6151个用户，6399笔交易，总交易量为63,187.9674 ETH。之所以这么受欢迎，是因为它的参与门槛低。它只需要最低100美元就可以参与，参与后可以获得高额的投资回报。 　　

　　

　　这样，就不难理解我们困惑的问题了。原来这是一家专门做金融庞氏骗局的交易所。 　　

　　

　　所以黑客勒索他们的服务器系统相对容易。 　　

　　

　　因此遭受巨额资产损失，项目方依然“隐忍”无动于衷； 　　

　　

　　所以还是有用户不明真相，继续做自己的投资赚钱梦； 　　

　　

　　所以黑客精心策划的勒索阴谋，成功的概率很大。 　　

　　

　　站在庞氏骗局设计者的角度，我们可以回过头来看一切：只有3700万的损失只能算是一个糟糕的开始，一个拥有上亿甚至上亿资产的优秀项目更是不值一提。目前最好的策略是接受黑客的勒索谈判或者掩盖事实。任何事情都需要长期，长期，长期。 　　

　　

　　然而，令项目方万万没想到的是，这次他们遇到了一心想寻求真相的币圈侦探Coinholmes (www.coinholmes.com)以及其背后的区块链顶级安全团队――PeckShield。 　　

　　

　　事实果然如此，我们在官网并没有看到对这两起异常转账事件的任何解释，只是发了一个通知，说6月18日将进行系统升级，加强安全性。这真的是一个诡计。 　　

　　

　　良性循环被黑客勒索的可能性分析： 　　

　　

　　正如我们上面所猜测的，黑客的勒索攻击过程很可能已经完成，本网站的代码漏洞已经升级，所以我们要继续以技术推理的方式重现这种攻击可能的实施过程，为吃高级瓜的群众补上这背后的技术逻辑： 　　

　　

　　根据我们的分析，好循环交易所的网站是基于HTTP协议的，不支持HTTPS加密协议。因此，各种敏感信息都以明文形式传输，这使得黑客很容易实施网络钓鱼、中间人劫持等攻击： 　　

　　

　　1)可能的攻击手段 　　

一：用户在 Good Cycle 注册时的所有信息都是使用 HTTP并明文进行上传，很容易被人使用拦截工具进行拦截，如果用户的账户密码及 PIN 码被黑客拦截成功，黑客可以登录用户的账户进行提现，由于 Good Cycle 在登录及提现时未对账户进行二次验证，从而导致资产丢失。

　　

2）可能攻击手段之二：每当用户创建新的账户时都会返回一个新的 ETH 充值地址，黑客可以对用户提交的创建地址请求进行拦截并加以更改，将用户的充值地址改成自己的账户，从而导致用户每次充值都被充值进黑客预先埋伏的账户。

　　

3）可能攻击手段之三：黑客在得到用户的账户密码后，可以根据代码中的加密方法得到发送提现请求所需要的各种请求头，直接发送一个提现的请求并将提现地址改成自己的地址，从而实现对用户的账户进行攻击。

　　

以上，我们不难看出，Good Cycle 交易所的安全防御措施极低，纵使是一名很普通的黑客，都很容易找到突破口实施攻击。当然，也不排除是因为开发人员的低级错误有意或无意导致的巨额交易费问题。但无论是“内忧”还是“外患”，用户资产受损已成既定事实。PeckShield 在此提醒广大用户，应谨慎参与此类安防级别极低的项目，即使其营销模式再诱人，很可能因为安防风控不到位而遭遇灭顶之灾，而要为此付出代价的不是项目方，而是不明真相被蒙在鼓里的韭菜们。

　　

结语

　　

无论是我们推测的黑客 GasPrice 攻击已得逞也好，又或者另有其他原因。媒 体，公众，尤其是参与其中的广大用户们 需要一个解释：这3,700万元的损失将由谁来承担？

　　

很显然，仍缩在暗处不愿意露面的项目方有他们自己的算盘。

　　

但不管怎么说，如此带有庞氏骗局性质的项目迟早会有暴雷的一天。PeckShield 安全团队已经曝光了包括 PlusToken、TokenStore、EOS 生态等数十起类似的 理财钱包骗局都证实了这一点。

　　

对项目方而言，现在站出来承认错误，寻求矿池方的资产退还帮助，退还投资用户的资产是眼下最好的选择，倘若项目方仍试图继续瞒天过海的话，相信问题只会更加糟糕，因为靠滚雪球的用户 Fomo 投入支撑，只会延缓死期，他们迟早会有面临法律审判的一天。

　　

需要提醒的是，为帮用户减少损失，我们已跟两家打包矿池方取得联系，其中 Ethermine 挖矿所得的10,668个 ETH 已经平分给矿工了，而 Spark Pool 也将于06月17日将该异常收益平分，留给项目方挽回损失的时间窗口已经不长了。