7月12日,一名忧心忡忡的加密货币持有者在reddit上发布消息称,他在metamask钱包中存入了大量资金(约24万美元),并遭遇了网络钓鱼,这使得一名正在榨干其资金的骗子得以进入。这名reddit用户开始“自我黑客”,并邀请其他网友观看他的账户被骗子清除。
这篇帖子“收获”了一些合理的批评:人们认为这么多钱不应该放在浏览器钱包里(通常比线下硬件钱包风险更大),“把钱的使用权交给所谓非常有帮助的技术支持助理”的想法也无语。
但在这些回复中,一些用户提出了一个解决方案——减少损失的方法。
事实证明,这种方法最终可以节省大约一半的钱(约11.7万美元),并使他们遥不可及。事情是这样的:
寻求帮助
这名加密货币持有者在reddit上被称为“007happy guy”,他被引导填写了white hat热线表格并公布了详细信息。
表格的另一端是白帽黑客,他们说他们很乐意帮助有困难的人。这是一个临时服务,如果请求是免费的,开发人员可以选择响应请求。
在这种情况下,亚历克斯马努斯金告诉街区,他已经回应了要求。Alex manuskin曾是zengo的区块链研究员,现在是一名自由区块链开发者。当他读到这封信时,已经是傍晚了,他意识到这很紧急,因为他的钱包还在被掏空,而且数额巨大。
manuskin要做的第一件事是验证reddit用户拥有钱包,并且他没有试图获取其他人的钱。
在这一点上,他必须通过要求私钥进入钱包。这很讽刺,因为这是任何安全专家都会告诉你不要做的事情。但在这种情况下,这更像是不得已而为之。
然后他确定骗子不能再从钱包里转账了。为了在以太坊上交易,用户需要一些;以太坊;支付交易费用。因此,他确保发送到钱包的任何ETH都会自动删除(即销毁)。
使用 Flashbots 拯救资金
随着越来越多的钱被拿走的威胁减弱,下一个目标就是把剩下的钱存起来。
为此,manuskin使用flashbots,这是一种支持开发者和矿工之间通信的服务。简而言之,开发人员可以使用flashbot将事务“包裹”发送给矿工,并将其直接包含在块中,而不是将事务广播到网络并期望它被打包。
有两个原因。主要原因是,如果钱包里没有ETH,任何交易成本为零的交易都不会被任何矿工打包。在flashbot的例子中,有一个复杂的交易,资金被转移到另一个钱包,其他资金被一次性支付给矿工。
第二个原因是它更隐蔽。如果任何交易被广播到公共网络,欺诈者就有机会抢先交易(不过,在这种情况下,仍然需要一些ETH来支付交易费用)
Manuskin解释说,编写自定义脚本和执行事务大约需要5到6个小时。他说,时间的长短取决于交易的复杂性(例如,他们是否签订了复杂的协议)以及他以前是否经历过类似的情况。
根据reddit的帖子,在骗子开始转账后,马努斯金设法从钱包里剩余的12万美元代币中节省了约11.7万美元。
一般情况下,白帽黑客会根据所需工作的复杂程度,收取约5%-10%的恢复资金作为救援资金的奖励。
曼努斯金说,这个案子很有趣,因为这是他和骗子之间的一场真正的战斗。通常,这些资金只能收回,因为它们将在未来某个日期解锁,但在这种情况下,它们仍有被带走的风险。
他表示,由于骗子仍在试图把ETH送到钱包里,试图拿到代币,因此会有更大的压力,并补充说,“这不是一个轻松的下午。”
文章链接:https://www.btchangqing.cn/302106.html
更新时间:2021年07月20日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
