关键要点:攻击者在此次攻击中使用了807,260ETC(价值560万美元)和17.5BTC(价值19.2万美元)来获取攻击的哈希值。攻击者还获得了13KETC我们没有将其计入两次花费。我们通过Bitquery从EthereumClassic节点收集了基于OpenEthereum软件的重组链和非重组链的数据。因为OpenEthereum软件在重组链超过某个程序段号时有一个bug,所以我们保留了包括在重组发生后由其他矿工在OpenEthereum软件上开采的一系列区块的所有数据。为了赶上重排序的链,我们转移到了Geth节点软件。但在此之前,我们将未重组链的所有数据存储在了单独的数据库中供将来分析使用。在Geth节点同步之后,我们从块10904146开始来自OpenEthereum节点的非重组链(每个矿工都在该节点上工作)和来自Geth节点的重组链(受攻击对象作用下)。
这两个数据集在区块10904146之前具有完全相同的数据,差异从下一个区块开始。例如,我们比较了下一个区块10904147。
通常,您可以使用以下格式的URL:https://explorer.bitquery.io/ethclassic查询重组链(当前接受的链,以及带有攻击者挖掘块的链)https://explorer.bitquery.io/ethclassic_reorg查询未重组链(带有被丢弃的区块的链)。这些区块有几个不同之处:1.高度相同,但哈希不同,因为这些区块的内容不同。2.父哈希值是相同的,因为它们指向了从中开始分叉的同一原始区块(10904146)。3.矿工是不同的。重组链的矿工是攻击者,地址为0x75d1e5477f1fdaad6e0e3d433ab69b08c482f14e,他在12小时内挖掘了3500多个区块来执行重组。未重组链的矿工是一些常规矿工,因为他们不知道攻击者的存在,所以像往常一样进行挖矿。4.在重组链和非重组链中,不仅区块、交易、转移、智能合约和事件也有所不同。
让我们来看看攻击者的挖矿活动。攻击者在4天内总共挖掘了4280个区块。请注意,他在攻击之前只进行了一点挖掘,在攻击之后停止了挖掘。这不是普通矿工的行为。因此,矿工将所有的采矿奖励(13K等)发送到地址0x401810b54720faad2394fbe817dcdeae014066a1。
根据我们的调查,攻击者执行了以下操作来执行51%的攻击:1.7月29日至31日。攻击者从交易所提取了约807K的ETC到几个钱包。2.7月31日16:36。攻击者以双倍价格从Nicehash提供者daggerhashimoto购买了哈希算力来开始挖掘区块。挖矿的总成本约为17.5BTC(约192,000美元)。3.7月31日17:00至17:40。攻击者将钱转入链自己的钱包,并将这些交易插入正在挖掘的区块中。之所以没有人注意到这些交易,是因为攻击者没有将这些区块公开宣布。4.7月31日18:00至8月1日2:50 UTC。攻击者使用未重组链上的中间钱包将钱转回交易所,每个人都可以看到。在此期间,攻击者有足够的时间将这些货币转换为美元,然后进行提取或购买BTC。攻击者将操作分为多个阶段,持续进行网络攻击长达12个小时,以避免引起任何人的怀疑。5.8月1日4:53。攻击者使用在步骤3中创建的交易账本并发布到全网,并进行了链重组。这意味着将步骤4中的交易替换为步骤3中的交易。
