揭露ETC的51%攻击者的操作行为如何盗取总价值807K的ETC

在7月31号至8月1号以太经典受到黑客的51％链攻击。在本文中，我们将分析这两次攻击期间的交易链的分叉情况。

关键要点：攻击者在此次攻击中花费了807,260 ETC（560万美元），花费了17.5 BTC（19.2万美元）来获得攻击的哈希值。攻击者还获得了13K ETC作为区块挖掘奖励，我们没有将其计入两次花费。从重组链和非重组链收集数据我们在Bitquery中基于Open Ethereum软件从Ethereum Classic节点收集数据。正如它出现在分叉之后一样，该软件有一个bug，区块链重组超过某个特定的程序段号。我们保留了所有数据，包括在重组发生后由其他矿工在Open Ethereum软件上开采的一系列区块。看来要赶上重新排序的链的唯一方法是转移到其他节点软件，我们选择了Geth。但是在此之前，我们将未重组链的所有数据存储在单独的数据库中，以备将来分析。在Geth节点同步之后，我们从块10904146开始重新索引数据，在块10904146开始进行重组。我们现在有了两个数据集，我们在Bitquery Explorer接口和GraphQL API中公开了这些数据集：· 来自Open Ethereum节点的非重组链（每个矿工都在该节点上工作）· 从Geth节点重组链（受攻击的对象起作用）

这些数据集在区块10904146之前具有完全相同的数据，并且差异从下一个区块开始。例如比较下一个区块10904147：

通常，您可以使用以下格式的URL：https://explorer.bitquery.io/ethclassic查询重组的链（当前接受的链，以及带有攻击者挖掘块的链）https://explorer.bitquery.io/ethclassic_reorg查询未重组的链（带有被丢弃的区块的链）链中的这些区块有几个不同之处：1. 高度相同，但哈希不同，因为这些区块的内容不同。2. 父哈希值是相同的，因为它们指向了从中开始分叉的同一原始区块（10904146）3. 矿工是不同的。重组链的矿工是攻击者，0x75d1e5477f1fdaad6e0e3d433ab69b08c482f14e，他在12小时内挖出3500多个区块以执行重组。未重组链的矿工是一些常规矿工，由于他们不知道攻击者的存在，所以像往常一样挖矿。4. 在重组和非重组链中，不仅区块，交易，转移，智能合约和事件也有所不同。让我们看看攻击者的挖矿活动。攻击者的挖矿活动攻击者设法从10904147到10907761的高度插入区块。在10907761区块之后，他继续挖掘一些区块，但这并没有造成重大重组。可以在以下位置查看攻击者的活动：

攻击者4天内总共挖掘了4280个区块。请注意，他在攻击之前只进行了一点挖掘，在攻击之后停止了挖掘。这不是普通矿工的行为。结果，矿工将所有的采矿奖励金（13K等）发送到了地址0x401810b54720faad2394fbe817dcdeae014066a1

攻击时间线根据我们的调查，攻击者执行了以下操作来执行51％的攻击：1. 7月29日至31日。攻击者从交易所提取约807K的ETC到几个钱包。2. 7月31日16:36。攻击者通过从Nicehash提供者daggerhashimoto以双倍价格购买哈希功率来开始挖掘区块。挖矿的总成本约为17.5 BTC（?192,000美元）3. 7月31日17：00–17：40。攻击者将钱汇入链自己的钱包，并将这些交易插入正在挖掘的区块中。之所以没有人发现这些交易，是因为攻击者没有把这些区块宣布出去。4. 7月31日18:00 – 8月1日2:50 UTC。攻击者使用未重组链上的中间钱包将钱转回交易所，每个人都可以看到。在此期间，攻击者有足够的时间将这些货币转换为美元，然后进行提取或购买BTC。攻击者将操作拆分开多个阶段，对网络攻击持续长达12个小时，以避免被任何人怀疑。5. 8月1日4:53。攻击者使用在步骤3中创建的交易账本并在全网发布，并执行链重组。这意味着将步骤4的事务替换为步骤3的事务。

—-

编译者/作者：Calorie

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。