以太坊大漏洞：黑客盗取2000万美元 1万多个节点可被攻陷

3月20日，安全公司慢雾科技发布预警：黑客利用以太坊生态缺陷，利用机器自动盗取网络上的以太坊账户。 截至2017年6月10日，他们已经成功207次，账户余额为2000万美元。 除了以太坊，黑客钱包账户中还有164个其他代币，因为其中很多没有上市交易，价值无法估量。

根据慢雾扫描结果，目前全球有超过10000个以太坊节点存在类似风险，其余额可能被盗。

（以太坊创始人 Vitalik Buterin）

根据其发布的报告，黑客利用以太坊生态系统的某些制度缺陷，达到了自动窃取资金的目的：

首先，黑客会使用机器批量查询网络上以太坊钱包的地址。 这个动作是通过扫描端口 8485 和 8486 来实现的。端口扫描是一种成熟的黑客技术，并且有很多现成的工具可用。

其次，扫描开放端口后，使用eth_getBlockByNumber（查询区块高度）、eth_accounts（查询钱包地址）、eth_getBalance（查询钱包余额）三个命令执行相应的操作。

Heikis查询了以太坊的开发文档，发现以太坊支持RPC模式。 以太坊账户开启该模式后黑客以太坊私钥，可以自动完成某些操作，比如在矿池中挖完币后自动转账到钱包。

第三，不断尝试发送eth_sendTransaction命令，如果有效，会将钱包中的余额转移到攻击者的钱包中。

有人会问，转账需要密钥的参与，黑客是如何绕过密钥的呢？

原来以太坊账户支持 unlockAccount 命令，提供该命令是为了方便某些机械化交易。 在代币交易中，有人用电脑进行高频交易，以获得波动性价差（高频股票交易也是如此，有时一分钟买卖几十次）。

在以太坊高频交易（或矿池资金自动划转）中，可以设置一段时间内无需输入密码，时间长短由用户指定. 如果黑客在此期间发出“余额转账”指令，以太坊账户（钱包或网页账户）将自动执行操作，将钱包中的以太币转入黑客的钱包。

2017年6月21日，黑客利用该方法在4小时内从知名矿池f2pool盗取了36笔资金。

（f2pool官网号称是全球最大的矿池）

慢雾科技指出，其墨子系统扫描了全球约42亿个IP地址，发现存在该安全风险的以太坊节点超过10000个，这些节点中的余额可能被盗。

那么，用户应该怎么做才能防止此类攻击呢？ 专家建议用户应做到以下几点：

1.更改默认RPCAPI端口，配置方式为：--rpcport8377或--wsport8378（防止端口扫描生效）

2.将RPCAPI监听地址改为内网，配置方法如下：--rpcaddr192.168.0.100或--wsaddr192.168.0.100

3、配置iptables限制访问RPCAPI端口，例如：只允许192.168.0.101访问8545端口（只接受特定IP的命令）：

iptables-AINPUT-s192.168.0.101-pTCP --dport8545-jACCEPT

iptables-AINPUT-pTCP --dport8545-jDROP

4、账户信息（keystore）不要存储在节点上（因为账户不在节点上，unlockAccount不会用到）

5.任何转账，使用web3的sendTransaction和sendRawTransaction发送私钥签名的交易（限制不安全的转账指令）

6、私钥物理隔离（如冷钱包、人工转录）或高强度加密存储，保证密钥安全

Heikishi 上网搜索发现，大多数以太坊用户并没有把这个安全警告当回事。 甚至有人在慢雾科技创始人于贤的微博上留言，嘲讽他哗众取宠。

于贤是知名黑客黑客以太坊私钥，曾任智创宇科技副总裁。