揭秘 | 台湾MaiCoin交易所被盗事件分析

MaiCoin是台湾的一站式数字资产交易平台，可立即将即时货币兑换转换为比特币和莱特币，以实时提供最新的比特币，莱特币和以太币价格。它提供电子钱包服务，传输，接收和存储功能，安全方便，是台湾最大的数字资产交易平台。

该平台的传播是为了反映当前的市场状况和数字资产的全球流动性。除了为消费者提供使用比特币的服务外，MaiCoin还为商家提供不同类型的收集工具。只要您申请商家帐户，就可以使用适合您的业务类型的工具接受比特币的全球货币支付，而不会有任何比特币波动的风险。

数天前，有监控系统检测到重大盗币事件，经过分析发现，疑似台湾著名交易所MaiCoin被盗，损失金额高达5350ether，以现在的ether价格估算，折合新台币4800多万。

在Ethereum的网络生态环境中，一直存在着一大批恶意攻击者，通过JSON-RPC端口漏洞进行盗币。消息称通过蜜罐系统捕获了大量攻击者钱包地址，在对这些恶意地址的监控中，发现臭名昭著的地址:0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464(后文简称0x957)

在北京时间2018/8/31 12:40:57时，连续大量转入ether，总共59笔转账，总金额达5350 ether。所有转账transaction都打包在一个区块中，区块高度6244633。

可以看到攻击者为了让交易尽快打包，Gas Price设置非常高，为189 Gwei，同区块其他交易平均Gas Price为3Gwei左右，攻击者多付了60倍的矿工费用，这样能确保矿工优先打包这些盗币转账，不过即使这样，每笔转账实际手续费也才1.15美金，相对攻击者收益来讲是九牛一毛。

0x957是著名的利用JSON-RPC接口进行盗币的地址，不仅盗取ether，同时基于Ethereum的ERC20 token也在其狩猎范围之内。截止目前，该地址已经盗取44000多个ether，以及数量众多的ERC20 token，估算总价值超过1亿人民币。该地址拥有者同时还掌握一定矿池算力，专门打包Gas Price设置为0的盗币交易，用于盗取账户中无ether余额的ERC20 token。

从本次盗币行为来看，每笔交易转账ether金额为100（扣除交易费用，实际到账刚好99.996031），所有59笔转账被打包进一个区块中，侧面实证这些转账是由程序发起的，人工操作无法在20秒（Ethereum区块出块间隔时间10-20s）之内完成59笔转账操作。

另外，攻击者转账59次才将所有余额转走，而不是一次性转走所有余额，表明攻击者并没有拿到实际的钱包keystore文件。

以上种种迹象表明，本次盗币应该还是利用的JSON-RPC接口。攻击者为了获取最大的利益，并没有将所有余额一次性进行转账盗取，因为若钱包拥有者同时也在转账，可能就会导致余额不足，而攻击者的盗币转账行为就会失败。

攻击者采取了每次转账盗取数额限制，每次最大转出100 ether，而当被攻击的钱包余额小于100 ether时，则每次转账10 ether，这样的模式明显是攻击者在进行长期的盗币攻击实践中，所优化出来的的盗币转账方案，可以判断这是一个进行长期攻击并专精于此道的攻击者。

在有监控到异常事件后，就第一时间对被盗地址进行调查，最终发现被盗地址属于台湾著名交易所MaiCoin。多名用户曾在台湾“批踢踢實業坊”论坛中提及0xc3d9c17d7f6988c0fe7ebe929c47efccbd92be13地址是MaiCoin的热钱包，这也证实了调查结果。

然而在对MaiCoin的调查中发现，MaiCoin并未对外宣布钱包被盗一事，仅发布公告说由于系统架构升级，更新所有用户的以太坊充值地址。公告未提及其他虚拟货币如BTC、LTC钱包需要升级，说明其他币种钱包并未被盗。

交易所这一做法应该是为了保全平台信誉，选择暗地里全额补偿用户损失，这对用户来讲无疑算是一个好消息，相比之前被盗跑路的Mt.Gox和要求用户承担一定损失的Bitfinex，MaiCoin算是一个良心区块链交易所。

常见JSON-RPC被盗事件中，钱包主人在解锁钱包后，发起正常交易，然后攻击者也同时发起了盗币交易，此时会看到有多笔交易转向不同钱包地址，这是这种盗币方式的特点之一。

但在本次事件中并未发现这一特点，也就是说钱包解锁后并未发起正常交易；另外还有一种可能就是MaiCoin的热钱包为了方便用户提款，本身是无限期解锁状态，只是本身对外网络隔离，外网无法访问到钱包的RPC接口，由于网络管理员或其他人员误操作导致钱包RPC接口被暴露在公网，从而发生了这一悲剧。

如果本次盗币交易真如分析中所说的是由JSON-RPC接口导致的，那么交易所更换用户ether充值地址是没办法解决这个问题的，意味着MaiCoin依然存在风险。另外这是不是也意味着MaiCoin到现在也并未调查清楚他们的钱包是如何被盗的？

区块链技术带来了金融等行业的革新，但整个行业的安全仍处于刚刚起步的阶段，由于其天生匿名性引来了无数的恶意攻击者潜伏其中，稍有不慎就会引发极大的经济损失。 

（作者：区块链安全档案，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）