事由

區塊鏈安全諮詢公司 曲速未來 訊息：就在前幾天，許多以太坊錢包賬戶都收到了一種名為blockwell.ai KYC Casper Token代幣轉進/出賬訊息：

​

​

令人奇怪的是這些賬號均表示之前對這個Token的“一無所知”，當這些收到訊息使用者並沒有真正收到提示的那100個代幣，而那些提示有100代幣轉出的使用者在之前也並沒有擁有過這種代幣，這一切都顯得“莫名其妙”！更加讓一部分人奇怪和擔心的是，這些“轉進/出賬”的操作，都不需要錢包擁有者的的任何密碼私鑰輸入，於是很多不明真相的使用者擔心自己的錢包是不是被人惡意攻擊 ...

​

事件跟蹤

首先從blockwell.ai KYC Casper Token看

​

​

交易頁面，看到的交易記錄都是轉出100代幣的記錄，沒有任何轉入記錄。

再看看實際轉賬到賬戶的交易資訊

​

​

可以看到通過呼叫這個合約，發起了一筆代幣轉賬，在event logs裡可以看到實際的交易

​

​

然後具體的交易地址為

​

​

整筆交易花費了244w的gas，價值2.28美元，有針對的從500個使用者轉賬給了500個使用者。

​

​

繼續跟蹤到轉賬的from地址：

​

​

​

正如文章開頭提到的那樣：所有的來源賬戶本身都是不持有這種代幣的，跟蹤一下也可以發現，無論是發起交易者還是接受交易者，都沒有發生實際代幣的變化。

​

但是這些交易記錄確實被儲存在鏈上，那麼這個事件的核心問題就在於：“這些記錄是怎麼被產生並記錄的？”

​

事件原理

我們從合約分析入手

​

​

不出所料，這種事件型的合約程式碼並不會直接給你開放原始碼，通過利用智慧合約的逆向工具，反編譯後得到如下部分程式碼：

​

部分原始碼如下：

​

​

從程式碼中可以很明顯的看到一個特殊的函式x_975ef7df，這是唯一一個涉及到陣列操作，且會觸發Tranfser事件的函式。

​

​

從程式碼中可以很清晰的看到， 在對地址列表的迴圈中，只觸發了Transfer事件，沒有任何其餘的操作。

​

都知道遵守以太坊ERC20標準的合約代幣才會被承認為ERC20代幣，ERC20代幣會直接被交易所承認。而在ERC20標準中規定，transfer函式必須觸發Transfer事件，事件會被記錄在event log中，是不是說明平臺和交易所在獲取ERC20代幣交易資訊，是通過event log事件獲取的呢？我們來測試一下。

​

事件復現

測試合約地址

​

​

這裡需要強調的是：轉出/入賬的地址都是可以自定義的，這也就是為什麼所有的來源賬戶本身都是不持有這種代幣的原因。

​

然後直接發起交易

​

​

然後就會提示了訊息，注意收到的訊息了包含在程式碼裡symbol=“RMB”的值

​

​

回看餘額可以發現沒有實際轉賬誕生。

​

事件目的

通過上面分析，可以發現整個事件最後只說了一件事情就是偽照了大量的虛假交易記錄，並沒有其他“實質”性的惡意操作，那麼這個事件的目的是什麼呢？

​

就來回顧一下整個事件的流程：

​

建立一個token ---> 偽造交易記錄 ---> 錢包或交易平臺獲取交易記錄 ---> 推送給使用者

​

如果能找到自定義的訊息，那麼這是一條完美的訊息推廣鏈！！這個事件的始作俑者非常聰明的利用了token名這個自定義輸入點：blockwell.ai KYC Casper Token，blockwell.ai這個就是本次事件的主要目的，牛皮癬小廣告推廣這個網站。

​

看你有的人會說如果只是用來做廣告推廣的話，完全可以使用代幣的真實轉賬記錄來推廣，而不是利用偽造交易記錄。這裡需要提醒大家的是“廣告費”的問題，這個“廣告費”也就是合約操作裡的gas消耗，偽造交易記錄只需要Transfer操作的gas可以大大節省這個“廣告費”，本次事件整個過程的話費的“廣告費”約2.28美元的gas，就實現了對1000個使用者有針對的推送了精準廣告。

​

做個小解釋：Gas 是什麼？

Gas翻譯成中文就是“燃氣”，是以太坊世界的燃料，它決定了以太坊網路生態系統的正常執行。

​

Gas用來衡量執行某些動作需要多少“工作量”，這些“工作量”就是為了執行該動作支付給網路的費用額。通俗理解，Gas 是給礦工的佣金，並以 ETH 支付，無論是交易、執行智慧合約並啟動 DApps，還是支付資料儲存費用，都需要用到 Gas。

​

總結

區塊鏈安全諮詢公司 曲速未來 表示：結合以往的各種事件，相比於區塊鏈的各種應用場景裡，在“惡意”攻擊或者利用的層面，攻擊者們都表現出了驚人的“小點子”，本次事件利用了“交易所平臺卻盲目信任符合ERC20標準的合約”的特點，使用了以太坊平臺本身實現的“bug”，達到了最少的“廣告費”實現了精準的使用者廣告的推送。

還有另外一個值得大家關注的點就是被用來做訊息推送的點是可以自定義的，那麼是非常值得思考一下可能導致的風險：比如推送釣魚網站資訊，推送其他非法型別的小廣告及言論，都是會導致錢包等平臺應用方的使用者有著不可以預期的風險！在這裡 曲速未來 也提醒各大錢包、交易所等平臺警惕此類風險，必要時針對這些可自定義點進行相關識別及過濾。

​