全世界最大的加密货币交易所币安在昨天中了俗称为 ZeroTransfer 的钓鱼攻击,向错误的
地址转了 2000 万美金的 USDT,大约是台币 6 亿元
先来解释一下什么是 ZeroTransfer,在转帐加密货币的时候,一般来说你只能从自己的帐
号转给其他人,毕竟你没有其他帐号的私钥或是权限嘛,合理
但如果你想转的是 0 元呢?答案是“你可以用任何人的帐号转帐”,我可以用小明的帐号
转 0 元给小华,也可以用小华的帐号转 0 元给我,这些都是合法而且被允许的操作
只是这样做有什么好处?小明跟小华的余额不会有任何影响,而交易手续费要我来付,这种
亏本生意到底谁得利了?
这就要谈到区块链的帐号了,链上的帐号(地址)都是很长一串,像这样:0xa7B4BAC8f0f9
692e56750aEFB5f6cB5516E90570
所以在接口上显示的时候,因为长度的关系可能只会显示 0xa7B.....0570 这样前后几码而
已,中间都用 ... 来代替。虽然说地址都是随机产生的,要产生的相同的地址几乎是不可
能,但如果只是前面跟后面几位数相同的话,只要多花一些时间就可以产出来
举例来说,我可以产出这个地址:0xa7Bf48749D2E4aA29e3209879956b9bAa9E90570
有没有注意到前后几位数都一样?因此这个地址在接口上显示时,也会显示 0xa7B....0570
,跟前面的地址是一模一样的
前面我们有提到可以用任意帐号转 0 元给其他人,虽然是 0 元,但它也是一笔交易,因此
会在钱包的交易纪录中显示出来,而 ZeroTransfer 就是结合了这个外加刚刚讲的地址显示
,我用币安的钱包转帐给一个精心伪造的地址,转了超多笔交易,这些交易就会显示在纪录
中
而币安在转帐的时候如果没有注意到这件事,直接从交易纪录中复制以前转过的地址贴上,
这笔交易的钱就会转到我的钓鱼帐号里面了,这就是 ZeroTrasnfer 攻击,是相对来说比较
新的攻击方式
而币安就是中了这个攻击,直接把 2000 万美金转到一个钓鱼帐号去了,不过转完之后有立
刻发觉,因此通知 USDT 冻结帐户。不过身为一个有看过交易所里面各个内控规范的人,还
是觉得会发生这种事很扯... 我以为这些内部转帐都会经过层层验证,有几个 approver
确认地址跟钱都没问题之类的,或是这些地址应该早就输入在系统内,你只是从选单选择而
已,不需要自己复制,不过看起来可能没这回事,或是根本不够严谨
这件事情从技术上的角度来看也很有趣,如果单看“用别人的帐号向其他人转帐 0 元”
的话,虽然奇怪但不会觉得有任何伤害,我帮其他人转 0 元然后自己还要付手续费,谁会
做这种事?
但是结合地址在 UI 上的呈现以及使用者的操作习惯(直接复制以前的地址,懒得重新输
入),就可以变成一个创新且特殊的钓鱼攻击,