币圈说书：文在寅白衣渡江，以太坊西厢遭妒

大家好，我是币师(公众号CoinShifu)，我将定期发布对于区块链和数字货币方面新闻的分析，背景解析以及揭露其带来的重要意义或者影响，希望大家喜欢，求关注!

本篇是来自币师联盟的林落(微信Misalado)的投稿。

韩国鼓励区块链技术

韩国金融服务委员会（Financial Services Commission, aka FSC）计划鼓励区块链技术发展，并推动银行和保险机构进行区块链技术相关应用普及。

委员会认为此举能够加大机构后台用户信息的隐秘性和安全性，同时简化现有程序，引用其主席的原话：

“如今金融市场的投资者趋于多元化，越来越多的机构开始入场导致金融市场的角力慢慢白热化……金融科技（Fintech）是一个依靠技术不断进步的行业，（引入区块链科技）将会解决年轻人就业问题。”

作为金融科技展望蓝图的一部分，金融服务委员会同时准备给予中小型企业在数字支付交易中获得更多客户信息的权限，同时希望此举能够促进金融科技板块的发展。韩国政府同时开始研发类似于PayPal的app-to-app交易系统，并将数字货币加入可用货币范畴内。

韩国自从2018年年初对数字货币以及区块链行业进行大清洗之后，转头由政府牵头进行推动发展，这一套连续组合拳对韩国投资者来说可谓是情理之外，却又在意料之中。就如同各国股市一样，庄家入场前必须将股价砸至谷底才不紧不慢的进行抄底，韩国这一次在数字货币市场上的人造严冬终于结束，可谓对全球数字货币市场是一个利好，而与此同时，以太坊被爆出存在RPC协议控制漏洞，攻击者可利用在RPC上的漏洞获取使用者以太坊钱包的权限并无限制转账。

以太坊漏洞遭曝光

此漏洞在一年前就在reddit上被曝光有攻击者进行使用，但是并没有引起很大关注，以太坊也没有设立防护性措施，直至发稿日，以太坊的最新代码仍未修改相关漏洞。

漏洞成因为以太坊目前最流行的节点程序Geth/Parity中提供了RPC API用于对接矿池以及钱包，在默认情况下节点的RPC服务不需要密码就可以进行调用，官方实现的RPC API也并未提供RPC连接密码的功能，并在默认状态下此端口设为开放。

攻击者在用户对钱包进行解锁程序后（运行unlock函数），无需输入密码即可调用RPC API中eth_sendTransaction命令进行转账操作。

攻击者一般通过嗅探器寻找对外开放的以太坊RPC端口，并按照以下程序进行攻击：

调用eth_getBlockNumber(‘last’,false)获取最新区块链编码

再调用eth_accounts，获取此节点上所有账户

使用eth_balance进行对应账户余额查询

持续调用eth_sendTransaction命令，如下：

{‘jsonrpc’:’2.0’,’id’:2,’method’:’eth_transaction’,’params’:[{‘from’:’Client’s wallet address xxx’,’gas’:’0x55f0’,’to’:’Attacker’s wallet address xxx’,’value’: ‘0x112345fc212345000″}]}

其中Client’s wallet address代表受害者钱包地址，Attacker’s wallet address则代表攻击者钱包地址，gas为手续费，value则为转账金额。

黑客会持续进行转账操作并定期监控余额变化，直至用户解锁了钱包，此时钱包余额会被立刻转走。如果用户想要测试钱包是否存在此类安全隐患，可以下载python的web3库并连接RPC端口发起请求，如果返回结果，便可能存在漏洞。下载地址和参考代码如下：

http://web3py.readthedocs.io/en/stable/quickstart.html

Code Illustration I :

From web3 import Web3, HTTPProvider,IPCProvider

Web3 = Web3(HTTPProvider(‘http://ip:port’))

Web3.eth.blockNumber

截止至发稿日，攻击者已从此漏洞获利超千万美金，如果用户发现大量user-agent为‘go-http-client/1.1’的post请求时，请记录请求内容并确认是否为恶意攻击。对于RPC端口必须暴露在互联网的用户，请按照用https://tokenmarket.net/blog/protecting-ethereum-json-rpc-api-with-password/的指引设立鉴权，并关注ETH的持续更新是否修复此漏洞。

原文载自BLOCKCHAIN SECURITY LAB

作者介绍

林落（微信:misalado），KPMG出身，痴渡几载。入投行，梦不觉。因势起，一笔独钓，浮沉戎马间。

币师联盟001号。

杂谈

这是林落（微信:misalado）加入币师联盟的第三次投稿，希望大家踊跃支持。币师也同时希望币师联盟这个专业群体以后可以成为一个区块链行业最专业的布道者社区。师者传道授业解惑也，让我们一起构建专业社区，帮助这个行业走向应有的光明。

如果有朋友希望投稿或者加入币师联盟欢迎联系，可以将自己的微信号和个人介绍放在投稿文章内让更多的业内人知道您。另外，如果有区块链行业的朋友有各种对接需求也请在公众号留言或者联系42301060@qq.com，一定尽力帮各位把需求散播。

如果各位对这次这个主题还有什么别的想法和建议，欢迎联系作者或者关注本号后在公众号窗口留言。有读者希望加入币师的官方读者区块链讨论群，请关注后回复“社区”，币师会拉您入群。

要是读者老爷感觉币师讲的东西还有点用，求分享！感激不尽！

长按下方二维码关注我们