【吃瓜续集】10668个EHT的天价手续费，原来也是骗来的！真相后面的真相：黑吃黑！

6月11日异客报道了一条奇闻：“以太坊搞了个大新闻！

有一笔交易额只有350枚ETH的交易，却给出了高达10668.73185个ETH的手续费。按照ETH元当日收盘价计算，该笔交易的手续费是250多万美元，折合人民币1800万元。

这还不是最可疑的！更可疑的是相同的戏码在前一天6月10日已经上演过一次了。”

原文链接如下：

【吃瓜时刻】洗钱？被勒索？350个ETH的交易额被收了10668个EHT的手续费！以太坊搞了个大瓜！

当时，对于事件真相，异客的猜测了两种情况，一个是左手倒右手洗钱，另一种是被黑客敲诈勒索。

今天，这项奇闻幕后真相大白于天下！确实是黑客攻击！

但戏剧性的是，这个真相后面还有一个更惊人的真相！

知名区块链安全公司PeckShield从 0xcdd6a2b 地址关联的 0x12d8012 和 0xe87fda7 开头的地址为突破口，一步步顺藤摸瓜，最后发现 0xcdd6a2b 开头的地址所属为一家韩国名为 Good Cycle的交易所——而这家交易所曾被爆出是一家庞氏骗局公司！ 

原来是黑吃黑！

因为该交易所不是真心想做交易所，所以安全漏洞很多，所以黑客能相对容易地对入侵其服务器系统实施勒索攻击；

因为是被黑吃黑，所以即便遭到了巨额资产损失，但该公司依然表示状态良好；

黑客精心策划的勒索攻击阴谋，有很大概率是得逞了。

其官网并没有任何关于这两次异常转账事件的解释，而只是发通知称将于06月18日，进行系统升级以增强安全性。

PeckShield推测可能的攻击手段有：

1）可能攻击手段之一：用户在 Good Cycle 注册时的所有信息都是使用 HTTP并明文进行上传，很容易被人使用拦截工具进行拦截，如果用户的账户密码及 PIN 码被黑客拦截成功，黑客可以登录用户的账户进行提现，由于 Good Cycle 在登录及提现时未对账户进行二次验证，从而导致资产丢失。

2）可能攻击手段之二：每当用户创建新的账户时都会返回一个新的 ETH 充值地址，黑客可以对用户提交的创建地址请求进行拦截并加以更改，将用户的充值地址改成自己的账户，从而导致用户每次充值都被充值进黑客预先埋伏的账户。

3）可能攻击手段之三：黑客在得到用户的账户密码后，可以根据代码中的加密方法得到发送提现请求所需要的各种请求头，直接发送一个提现的请求并将提现地址改成自己的地址，从而实现对用户的账户进行攻击。

这个事件侧面映照出区块链技术一个优势和迫切需要解决的两个问题:

链上的公开账本让负面行为都变的透明，对于事情的真相每个区块链的参与者都有获取的途径（前提是他们愿意）。

区块链技术仍然存在着许多漏洞，也许一套技术标准架构的出现能够推动区块链技术的进步。

区块链行业和数字资产市场的法律体系仍待完善，不然即使可以通过链上找到责任人，却没有合适的法律武器去解决这个问题。

OMG Network 启动 2.5 万美元奖励的安全漏洞赏金计划

2020年6月11日，以太坊扩容项目 OMG Network （原 OmiseGO）启动代码安全漏洞赏金计划，最高可奖励 2.5 万美元。根据漏洞计划的说明，需要审核的部分包括区块链协议、智能合约、区块浏览器以及钱包等。

基于ETH的大部分项目普遍存在一个共性——对安全漏洞修改的代价太高，必须通过更新软件版本协议才可以实现漏洞的安全修补。通俗地讲，就是容错性不足。

为了防止安全事故的发生，从而对用户利益造成损害。许多项目通过漏洞赏金计划来对自己的系统架构进行完善，从而进一步提高区块链协议、钱包的安全性，这是对客户资金负责任的表现。

如果参与赏金任务的程序员找到了系统的漏洞，发现侵犯系统带来的利益远高于赏金奖励时，很可能会私藏漏洞，从而利用漏洞发起攻击，转走用户的数字资产。对此，区块链项目方需要提前做好相应的措施和准备，防患于未然。