The four most famous international exchanges:

Binance INTL	OKX INTL	Gate.io INTL	Huobi INTL
China Line　APP DL	China Line　APP DL	China Line　APP DL	China Line　APP DL

Note: The above exchange logo is the official website registration link, and the text is the APP download link.

以太坊天價手續費轉賬是一場黑客發起的GasPrice勒索攻擊？聽起來是趣聞，講起來是笑談。如你所見，我們所處的區塊鏈行業總是存在各種八卦和趣聞，尤其是在當前行情橫盤，市場情緒低迷的情況下。不過有的八卦，大家看着熱鬧，背後的門道卻看得明明白白，比如某著名交易所和礦機廠商的各種恩怨情仇等。

然而，圈內有一另一種大家都津津樂道的趣聞，表面上看着簡單，但其背後的真相卻很難探究明白。

2019 年 02 月 19 日，以太坊鏈上驚現一筆只有 0.1 ETH 的交易，然而交易者卻給出了高達 2.100 個 ETH 的手續費，按當時 ETH
969 元一枚計算，該筆意外操作，讓打包這筆交易的礦工意外收穫了約 200 萬人民幣。

無獨有偶，這兩天，類似的劇情再度上演，且比上一次更加瘋狂且魔幻：

06 月 10 日下午 17:47 分，0xcdd6a2b 開頭的地址向 0x12d8012 開頭的地址轉了 0.55 枚 ETH，然而轉賬交易費卻高達
10.668.73185 個 ETH;

06 月 11 日上午 11:30 分，0xcdd6a2b 開頭的地址再一次向 0xe87fda7 開頭的地址轉了 350 枚 ETH，轉賬交易費同樣高達
10.668.73185 個 ETH;

(兩筆異常轉賬，來源 Etherscan)

這一波騷操作下來，0xcdd6a2b 開頭的地址竟在一天之內揮霍了 522 萬美元，合計人民幣約 3.700 萬元。

意外轉賬的 3 種常規性可能

這不禁讓廣大看客一下子懵了。

我們不妨先以吃瓜羣眾的視角簡單剖析一下，發生這種意外的幾種可能性：

番外主題 1)——「土豪人傻錢多篇」：任性土豪轉賬的時候手抖了一下，噢，是兩下，區區幾千萬而已，不足掛齒;

番外主題 2)——「大佬普度眾生篇」：神秘骨灰級幣圈大佬，在行情低迷之際給大家發放安撫補貼，向默默為區塊鏈社區做出卓越貢獻的礦工們隨機發放紅包激勵;

番外主題 3)——「機構暗黑洗錢篇」：某隱秘洗錢集團，拉攏並「收買」若干礦池實施非法洗錢操作;

以上三種可能性，是普通人都能想到的，但深究一下其可能性其實並不大。前兩種就不用説了，在這個處處皆陷阱，人人皆韭菜的圈子內，我心已木，不太也不願相信有這種可能性了。

以太坊礦池算力分佈情況，來源：Etherscan

至於第三種可能就更有點天方夜譚了。我們發現打包這兩筆異常交易的礦池分別為 Spark Pool 和 Ethermine，這兩家礦池目前算力佔比分別為
30.02% 和 21.43%。也就是説，收買單一礦池最大可實現的贏面僅有 1/3.而要保證洗錢成功率在 99% 以上，該洗錢機構必須要同時收買 10
家礦池以上。這在當下穩固的礦業行業共識下顯然是痴人説夢，是絕對不可能發生的事兒。

一場黑客發起的 GasPrice 勒索攻擊?

撇開吃瓜層面的 3 種猜想，我們不妨從專業角度來梳理下，這連續發生的兩件異常轉賬行為背後，究竟藏着什麼貓膩?

PeckShield 安全團隊旗下可視化資產追蹤平台 CoinHolmes 基於已有的超 7.000 萬地址標籤和專業的溯源追蹤工具深入分析發現：

我們得先弄明白 0xcdd6a2b
開頭的地址是誰?經分析，該地址存在大量的進賬和出賬，且向上追溯一層地址發現都是一些小額的地址且和該地址發生交互後都被清空，CoinHolmes
團隊初步分析認為，該地址極有可能是某一交易所的熱錢包地址，其鏈上行為特徵和我們認定的交易所熱錢包地址特徵高度匹配。這意味着，這滑稽的事情背後藏着的並非神秘土豪的任性一笑，卻可能是廣大無辜韭菜們的無奈哀嚎。

既然目標地址是交易所，為何會無故揮霍巨額資產呢?尤其是在當下中小交易所生存處境都步履維艱的情況下，出現這種自殺式作秀行為實在弔詭，只有一種可能，除非該交易所主體遭到了黑客劫持。

在聯想到這種可能之後，我們發現該異常轉賬故事似乎有了一種更高度合理化的劇情：

1)某主體為交易所的地址被黑客以釣魚等方式實施了攻擊，其部分權限被黑客捕獲，比如：伺服器管理權限等;

2)由於該交易所私鑰存在多籤驗證等可能性，因此黑客儘管掌握了伺服器賬户權限，卻無法完全控制私鑰將巨額資產轉給自己。

3)但黑客卻發現其已有權限可以向該地址授權的白名單轉賬，於是黑客才有可能在權限不齊的情況下，實現兩次轉賬;

4)不僅如此，黑客還發現其可以控制 GasPrice 權限，所以其拿不走這筆資產卻可以想辦法將其揮霍完;

5)於是黑客發出兩次異常轉賬，向該交易所發起了勒索。潛台詞是如若交易所不通過其他方式給予黑客一定的贖金，黑客將會進一步把錢揮霍完(目前該地址還剩 2.1
萬個 ETH);

6)由於該交易所的伺服器權限被控制，使得其無法正常使用私鑰權限，故而眼睜睜看着賬户錢被動了，卻沒辦法將剩餘的錢轉出及時止損。

至此，我們可以推測這兩次異常轉賬行為的背後真相是：一場黑客向交易所發起的 GasPrice 勒索攻擊。

需要提醒的是，受害者大可不必掉入黑客設計的勒索陷阱。

就以去年 2 月份發生的 2.100 個 ETH 手續費轉賬事件為例，其最終結果是，打包礦池 Spark Pool
最終和轉賬方達成了退還協議。我們認為，當務之急，受害者應該及時和打包交易的礦池方取得聯繫，在證明其存在被裹挾事實之後，相信礦池方面會給出一個較為合理的後續處理方案。

以上，只是我們基於鏈上數據和已有地址標籤庫綜合推演出的一種可能性結果，我們還正在對相關地址進行進一步分析、追蹤和調查，同時也在協同礦池方面來探尋事情背後的真相。最後，需要特別聲明的是，我們不能保證該推演的百分百精確，但倘若存在一絲可能性的話，該勒索事件正在發生，且還可能存在進一步的危害，在此敬請受害者及時和我們取得聯繫，以便事情真相儘快水落石出。我們相信合眾生態合作夥伴之力，事情能有個相對樂觀的結果。