以太坊多签名合约漏洞黑客行为分析及追踪

记者：铅笔芯

2017年7月20日凌晨，以太坊上发生了自DAO漏洞以来最大的黑客盗窃事件，其原因是由于Parity钱包中的一个多签名合约（Multi-sig）的bug。这个bug导致了几十万以太币（当时价值数十亿人民币）被盗。同时也有白帽子（即帮助厂商分析漏洞并不因此获利的黑客）出来用同样方法转走了部分以太币先保护起来以避免损失进一步扩大。

以其中一个多签名合约地址为例：

https://etherscan.io/address/0xce9f93eb7f78fcb7e7d222c81f258535dc218d4b

这个合约是有bug的多签名合约，黑客通过调用InitWallet接口将自己设为Owner，将单人每天能转走的最大额度（DayLimit）设置为10^40 Wei（以太币最小计量单位）。再执行合约将币转到自己的地址，从而将合约中的钱盗走。

交易见：

https://etherscan.io/tx/0x86be7ef935683473248bd7fb35632555079b6043bf707a76bb86c3f7e9cdde49

https://etherscan.io/tx/0x9a675c7aada32eaea55adec60149b298917967eb6afab94d00d4019a54a16640

在第二个交易中，转走了价值3916.8个以太币到黑客地址：

https://etherscan.io/address/0x1ff21eca1c3ba96ed53783ab9c92ffbf77862584

通过这个黑客地址的历史交易信息，发现了其中一个合约地址：

https://etherscan.io/address/0x3fce483a0236ba36869e4e82151006045e7d3331

注意以上红色框里面，可以看到这个合约是由黑客地址在2016年1月创建。

说明这个地址并不是一个新地址，因此通过历史记录能追踪到黑客相关信息。

通过搜索，发现如下网站及相关信息：

http://etokend-docs.ambisafe.co/

这个上面的信息表明了这个黑客地址其实是ETokenD组织的地址。进一步可以发现：

这是一个叫作TAAS的组织，也是一个ICO的项目，官网为：https://taas.fund/

同时在这个页面：https://github.com/Ambisafe/etoken-docs/wiki/Transaction-Notifications

上面可以看出这个网站：

https://www.ambisafe.co/

和这个人：Oleg Aldekein （维护者）

以下是他的一些基本信息：

https://www.facebook.com/aldekein

https://www.linkedin.com/in/aldekein/

因此基本可以确定此人和这个组织跟这个黑客地址有密切联系。

同时，上述黑客地址最终将以太币和各种代币（Token）转到了以下地址：

https://etherscan.io/address/0xd1f27c48b948d49f3d098f499b8a1830d8a7e229

截止21日，所有的数字货币都还在这个地址中。如果黑客有进一步动作，我们会持续跟踪。