事由

區塊鏈安全咨詢公司 曲速未來 消息：就在前幾天，許多以太坊錢包賬戶都收到了一種名為blockwell.ai KYC Casper Token代幣轉進/出賬消息：

令人奇怪的是這些賬號均表示之前對這個Token的“一無所知”，當這些收到消息用戶并沒有真正收到提示的那100個代幣，而那些提示有100代幣轉出的用戶在之前也并沒有擁有過這種代幣，這一切都顯得“莫名其妙”！更加讓一部分人奇怪和擔心的是，這些“轉進/出賬”的操作，都不需要錢包擁有者的的任何密碼私鑰輸入，于是很多不明真相的用戶擔心自己的錢包是不是被人惡意攻擊 ...

事件跟蹤

首先從blockwell.ai KYC Casper Token看

交易頁面，看到的交易記錄都是轉出100代幣的記錄，沒有任何轉入記錄。

再看看實際轉賬到賬戶的交易信息

可以看到通過調用這個合約，發起了一筆代幣轉賬，在event logs里可以看到實際的交易

然后具體的交易地址為

整筆交易花費了244w的gas，價值2.28美元，有針對的從500個用戶轉賬給了500個用戶。

繼續跟蹤到轉賬的from地址：

正如文章開頭提到的那樣：所有的來源賬戶本身都是不持有這種代幣的，跟蹤一下也可以發現，無論是發起交易者還是接受交易者，都沒有發生實際代幣的變化。

但是這些交易記錄確實被保存在鏈上，那么這個事件的核心問題就在于：“這些記錄是怎么被產生并記錄的？”

事件原理

我們從合約分析入手

不出所料，這種事件型的合約代碼并不會直接給你開放源代碼，通過利用智能合約的逆向工具，反編譯后得到如下部分代碼：

部分源碼如下：

從代碼中可以很明顯的看到一個特殊的函數x_975ef7df，這是唯一一個涉及到數組操作，且會觸發Tranfser事件的函數。

從代碼中可以很清晰的看到， 在對地址列表的循環中，只觸發了Transfer事件，沒有任何其余的操作。

都知道遵守以太坊ERC20標準的合約代幣才會被承認為ERC20代幣，ERC20代幣會直接被交易所承認。而在ERC20標準中規定，transfer函數必須觸發Transfer事件，事件會被記錄在event log中，是不是說明平臺和交易所在獲取ERC20代幣交易信息，是通過event log事件獲取的呢？我們來測試一下。

事件復現

測試合約地址

這里需要強調的是：轉出/入賬的地址都是可以自定義的，這也就是為什么所有的來源賬戶本身都是不持有這種代幣的原因。

然后直接發起交易

然后就會提示了消息，注意收到的消息了包含在代碼里symbol=“RMB”的值

回看余額可以發現沒有實際轉賬誕生。

事件目的

通過上面分析，可以發現整個事件最后只說了一件事情就是偽照了大量的虛假交易記錄，并沒有其他“實質”性的惡意操作，那么這個事件的目的是什么呢？

就來回顧一下整個事件的流程：

創建一個token ---> 偽造交易記錄 ---> 錢包或交易平臺獲取交易記錄 ---> 推送給用戶

如果能找到自定義的消息，那么這是一條完美的消息推廣鏈??！這個事件的始作俑者非常聰明的利用了token名這個自定義輸入點：blockwell.ai KYC Casper Token，blockwell.ai這個就是本次事件的主要目的，牛皮癬小廣告推廣這個網站。

看你有的人會說如果只是用來做廣告推廣的話，完全可以使用代幣的真實轉賬記錄來推廣，而不是利用偽造交易記錄。這里需要提醒大家的是“廣告費”的問題，這個“廣告費”也就是合約操作里的gas消耗，偽造交易記錄只需要Transfer操作的gas可以大大節省這個“廣告費”，本次事件整個過程的話費的“廣告費”約2.28美元的gas，就實現了對1000個用戶有針對的推送了精準廣告。

做個小解釋：Gas 是什么？

Gas翻譯成中文就是“燃氣”，是以太坊世界的燃料，它決定了以太坊網絡生態系統的正常運行。

Gas用來衡量執行某些動作需要多少“工作量”，這些“工作量”就是為了執行該動作支付給網絡的費用額。通俗理解，Gas 是給礦工的傭金，并以 ETH 支付，無論是交易、執行智能合約并啟動 DApps，還是支付數據存儲費用，都需要用到 Gas。

總結

區塊鏈安全咨詢公司 曲速未來 表示：結合以往的各種事件，相比于區塊鏈的各種應用場景里，在“惡意”攻擊或者利用的層面，攻擊者們都表現出了驚人的“小點子”，本次事件利用了“交易所平臺卻盲目信任符合ERC20標準的合約”的特點，使用了以太坊平臺本身實現的“bug”，達到了最少的“廣告費”實現了精準的用戶廣告的推送。

還有另外一個值得大家關注的點就是被用來做消息推送的點是可以自定義的，那么是非常值得思考一下可能導致的風險：比如推送釣魚網站信息，推送其他非法類型的小廣告及言論，都是會導致錢包等平臺應用方的用戶有著不可以預期的風險！在這里 曲速未來 也提醒各大錢包、交易所等平臺警惕此類風險，必要時針對這些可自定義點進行相關識別及過濾。