以太坊天价转账真相：基金项目GoodCycle上演误杀！

此前，一部改编自印度《误杀遮天》的电影《误杀》上映，获得了广大网友的一致好评。 它通过混淆时空、伪造证据等蒙太奇手法，讲述主人公被杀后的故事。 犯罪事实。 在现实的区块链世界中，天价手续费异常转移后，不愿向公众公开真相的项目方很可能上演“误杀遮天”。

上周，以太坊链上发生三起天价转账事件，引发业内广泛讨论和猜测。

其中，以0xcdd6a2b开头的“神秘”地址，两天内仅两笔小额转账就挥霍了3700万元，创造了以太坊链史上的最高交易手续费记录。

PeckShield安全团队旗下的可视化资产追踪平台CoinHolmes，基于现有的超7000万+地址标签，快速定位到0xcdd6a2b开头的地址为某交易所热钱包，两次异常转账的原因很可能是它遇到了黑客精心策划的 GasPrice 勒索软件攻击。 详情请参考文章《》

就连以太坊创始人Vitalik也在推特上发文称，受害者遭受勒索攻击，并打算在EIP 1559提案中减少用户手动设置费用的需要，从而减少巨额转账费用的发生。

（V神推特关于以太坊天价手续费转账事件的声明）

但是，随着进一步的深入分析，发现问题来了：

1）由于受害方为持有广大用户资产的交易所，因此交易所在事发后并未发布公开声明提醒用户资产安全风险。 我们已与星火矿池核实，受害者也未向矿池提出资产返还请求。 这没有意义。

2）两次异常转账发生后的一两天内，交易所地址出现大量提币需求，用户提币超过5000个ETH。 占。

3）0xcdd6a2b开头的地址上还有16810个ETH的余额，躲在暗处的黑客似乎已经停止了进一步的作恶。 难道他们达成了协议？

至此，事情变得越来越有趣和扑朔迷离了。

但是，要弄清楚这个问题，我们还必须进一步调查受害交易所是谁？

谁是受害交易所？

由于上一篇只是我们的技术分析和推理，不管是不是事实，在我们最初的想法中，0xcdd6a2b开头的地址会想办法联系到我们，或者我们应该一直联系Spark Pool和Ethermine , 打包矿池。 让我们请求资金。 不过，到目前为止，受害交易所并未透露任何线索。

我们只好从0xcdd6a2b地址关联的0x12d8012和0xe87fda7开头的地址作为突破口，进一步深入搜索调查。 最后终于查到0xcdd6a2b开头的地址属于一家韩国小交易所Good Cycle。

为了验证这一推断的准确性，PeckShield安全人员对交易所进行了注册，并为交易所提供了以0x46d3be开头的充值地址，并分三笔交易共转入0.5ETH以太坊交易手续费给了谁，然后将这三笔交易汇总转入以0xcdd6a2b开头的热钱包地址（如下图所示），至此，可以认为受害者交易所的身份已经暴露。

（Good Cycle交易所充币地址和链上热钱包聚合地址）

据Good Cycle官方介绍，这是一家5月25日刚刚上线的韩国小型P2P交易所，上线半个月以来，该交易所已有6151名用户，6399笔交易，总交易量63187.9674 ETH。 它之所以如此受欢迎，是因为它的参与门槛低。 最低只需100美元即可参与，参与后即可获得高额投资回报。

这样一来，我们的疑惑也就不难理解了。 原来这是一家专注于金融庞氏骗局的交易所。

因此，黑客可以相对容易地对其服务器系统进行勒索攻击；

因此，项目方在遭受巨额资产损失后，依然“隐忍”；

因此，仍有用户不明真相，继续做着自己的投资致富梦；

因此，黑客精心策划的勒索攻击阴谋得逞的可能性很大。

让我们站在庞氏骗局设计者的角度来回顾这一切：仅仅3700万元的损失，只能算是一个糟糕的开始。 一个好的策略是接受黑客的勒索谈判或掩盖事实。

然而，让项目组万万没想到的是，他们遇到了立志查明真相的币圈侦探CoinHolmes()，以及背后的顶级区块链安全团队——PeckShield。

不出所料，我们在其官网上并没有看到关于这两次异常转账的任何解释，只是发了一个通知说将于6月18日升级系统以加强安全性。 .

（Good Cycle官网说法，翻译自韩文，可能不够准确）

Good Cycle被黑客勒索的可能性分析：

正如我们上面所猜测的，黑客的勒索攻击过程很可能已经完成，网站的代码漏洞也得到了升级。 我们别无选择，只能继续通过技术推理来重现此次攻击的可能性。 卦人编造了这背后的技术逻辑：

我们分析发现，Good Cycle Exchange网站基于HTTP协议，不支持访问HTTPS加密协议。 因此，各种敏感信息都是明文传输的，很容易被黑客进行钓鱼、中间人劫持等攻击：

1）可能的攻击方式之一：用户在Good Cycle注册时的所有信息都是使用HTTP明文上传的，很容易被拦截工具拦截。 如果用户的账户密码和PIN码被黑客成功截取，黑客将可以登录用户账户提现，因为Good Cycle在登录提现时没有对账户进行二次验证，导致资产被盗损失。

2）第二种可能的攻击方式：每当用户创建新账户时，都会返回一个新的ETH充值地址。 黑客可以拦截更改用户提交的地址创建请求，将用户的充值地址更改为自己的账户，导致用户每次充值都充值到黑客提前埋伏的账户中。

（Good Cycle网站潜在攻击点分析页面）

3）第三种可能的攻击方式：黑客在获取到用户的账号密码后，根据代码中的加密方式获取发送提现请求所需的各种请求头，直接发送提现请求，并将提现地址更改为自己的自己的地址，从而攻击用户的账户。

从以上不难看出，好周期交易所的安全防御措施极低，即使是非常普通的黑客，也很容易找到突破口进行攻击。 当然，也不排除开发者的低级失误有意无意造成巨额交易手续费的问题。 然而，无论是“内患”还是“外患”，用户资产受损已经成为既定事实。 PeckShield在此提醒用户谨慎参与此类安全级别极低的项目。 不管他们的营销模式多么吸引人，也很可能因为安全风控不到位而遭殃，而付出代价的不是方方的项目方，而是不明真相的韭菜们。黑暗的。

结语

是我们推测的黑客GasPrice攻击成功了以太坊交易手续费给了谁，还是有其他原因。 媒体、公众，尤其是涉事用户需要一个交代：3700万元的损失谁来承担？

显然，那些还躲在暗处不愿现身的项目方是有自己的盘算的。

但无论如何，这样一个具有庞氏骗局性质的项目，迟早要暴雷。 PeckShield安全团队先后曝光了包括PlusToken、TokenStore、EOS生态在内的数十起类似理财钱包骗局，都印证了这一点。

对于项目方来说，现在站出来认错，向矿池方寻求帮助，归还投资用户的资产是最好的选择。 如果项目方仍然试图继续隐瞒真相，相信问题只会越来越严重，因为依靠滚雪球般的用户 Fomo 的支持只会拖延死亡，迟早会面临法律审判。

需要提醒的是，为了帮助用户减少损失，我们联系了两家打包矿池。 其中，Ethermine挖矿获得的10668个ETH已平分给矿工，星火矿池也将于6月17日异常收益平分，留给项目方追回损失的时间窗口不长.

友情提示：PeckShield目前掌握的信息比本文披露的要多。 我们正试图与韩国警方交涉，以维护区块链行业应有的正义。