今天的推荐|以太坊溢价手续费转让背后：一名黑客发起加斯普里斯勒索攻击？

听起来很有趣，但这是个笑话。如你所见，在我们的区块链行业，有各种流言蜚语和趣闻轶事，尤其是当当前市场处于横盘状态，市场情绪低落的时候。但有些流言蜚语，你看热闹，但背后的门道却一清二楚，比如一家著名的交易所和矿机Maker的种种怨恨。

不过，圈子里还有另一种有趣的故事，大家都喜欢谈论。表面上看起来很简单，但背后的真相却很难理解。

2019年2月19日，HT3链条上出现了一笔只有0.1HT5的交易。不过，该交易员给出了高达2100 HT5的手续费。按照当时HT5969元的计算，这次意外操作让打包交易的矿工收获了约200万元的意外收获。

巧合的是，这两天，类似的情节再次上演，比上一次更疯狂、更神奇：

06 月 10 日下午 17:47 分，0xcdd6a2b 开头的地址向 0x12d8012 开头的地址转了 0.55 枚 HT5 ，然而转账交易费却高达 10,668.73185 个 HT5 ；

6月11日上午11:30，0xcdd6a2b开头的地址再次向0xe87fda7开头的地址转账350 HT5，转账交易费也达到10668.73185 HT5；

一天之内，0xcdd6a2b开头的地址就浪费了522万美元，总计约3700万元。

意外转移的三种常规可能性

这不禁让观众感到困惑。

我们先从食瓜者的角度来分析这类事故的可能性

番外主题 1）——「土豪人傻钱多篇」：任性土豪转账的时候手抖了一下，噢，是两下，区区几千万而已，不足挂齿；

范伟主题2—“大人物尽善尽美”：神秘骨灰级币圈大人物，在市场低迷时，会给予您安抚补贴，并对默默为区块链社区做出突出贡献的矿工给予随机奖金奖励；

主题3—“秘密机构洗钱”：一个秘密洗钱集团，招揽和“购买”几个挖矿池，以开展非法洗钱活动；

以上三种可能性，普通人都能想到，但不太可能深入探讨。不用说，在这个到处都是陷阱、人人都有韭菜的圈子里，我的心已经麻木了，我不想相信有这样的可能。

A660204 火币网矿池计算力分布，来源：火币全球最 erscan

至于第三种可能性，则更神秘一些。我们发现spark pool和HT5 ermine是打包这两个异常事务的两个ore pool。目前这两个矿藏的算力分别占30.02%和21.43%。也就是说，购买一个矿池可达到的最大赢面只有1/3，为确保洗钱成功率在99%以上，洗钱机构必须同时购买10个以上矿池。这显然是目前矿业界稳定共识下的愚人梦，这是绝对不可能发生的。

一个叫gasprice的黑客的勒索攻击？

除了甜瓜层面的三个猜想，我们不妨从专业的角度来梳理一下，连续两次异常转移行为的背后是什么？

基于现有的超过7000万个地址标签和专业跟踪工具，peckshield安全团队下属的可视资产跟踪平台coinholmes发现：

我们需要先找出0xcdd6a2b开头的地址是谁？经过分析，地址中有大量的进出地址，发现一级所有地址都是小地址，与地址交互后清除。科尼霍姆斯团队初步分析，该地址很可能是交易所的热门钱包地址，其在链条上的行为特征与我们识别的交易所的热门钱包地址特征高度吻合。这意味着，在这件搞笑的事情背后，不是神秘土豪劣绅的任性微笑，而是无辜韭菜的无助哀嚎。

既然目标地址是交易所，为什么会无缘无故挥霍巨额资产？特别是在目前中小交易所生存举步维艰的情况下，这种自杀性的作秀行为只有一种可能，除非交易所的主体被黑客劫持。

经过对这种可能性的思考，我们发现异常转移的故事似乎有一个更为合理化的情节：

1） 交换地址被黑客以网络钓鱼的形式攻击，部分权限被黑客获取，如：服务器管理权限等；

2） 由于交易所的私钥具有多重签名验证的可能性，黑客即使拥有服务器账户的权限，也无法完全控制私钥将巨额资产转移给自己。

3） 然而，黑客发现自己有权转移到地址授权的白名单上，因此在权利不均的情况下，黑客可以实现两次转移；

4） 不仅如此，黑客还发现他们可以控制gasprice的许可，因此他们不能拿走资产，而是找到一种方式来使用它；

5） 于是，黑客发出了两个异常的转账信息，并勒索交易所。潜台词是，如果交易所不以其他方式给黑客一定的赎金，黑客将进一步挥霍这笔钱（目前，还剩21000个HT5地址）；

6） 由于交换机的服务器权限是受控制的，所以不能正常使用私钥权限，只能被动地监视账户资金，而不能及时将剩余资金转出以阻止损失。

至此，我们可以推测，这两种异常转账行为背后的真相是：一名黑客对交易所发起了加斯普里斯勒索攻击。

应该提醒的是，受害者不必落入黑客设计的勒索陷阱。

以去年2月发生的2100起HT5手续费转移事件为例。结果，打包好的矿物池spark pool终于与转让方达成了退款协议。我们认为，灾民迫切需要及时与矿池方面的一揽子交易取得联系。在证明矿坑存在被围困的事实后，相信矿坑方会给出更合理的后续处理方案。

后记

以上只是基于链上数据和现有地址标记库的综合性能的可能结果。我们也正在对相关地址进行进一步分析、跟踪和调查，同时也在与矿池合作，探索事情背后的真相。最后，我们需要特别声明，我们不能保证扣除的100%准确，但如果有可能，勒索正在发生，可能会有进一步的伤害。请及时与我们联系，以便尽快查明真相。我们相信，有了合作生态伙伴的力量，事情会有一个相对乐观的结果。