以太坊生态安全漏洞持续追踪：恶意扫描IP全披露

查找币:余老师 | 漏洞披露 | 2026-05-10 00:07 | 2 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 一、事件背景与持续威胁查找币安全团队自2018年3月20日首次披露以太坊生态安全缺陷导致的亿级代币盗窃事件以来，始终保持着对攻击活动的严密监控。我们曾以为事件曝光后攻击会逐步收敛，但现实远比预期严峻——在随后的两周内（3月20日至4月4日），攻击者依然成功实施了94次盗币攻击，累计窃取81枚ETH，并完成了4次提现操作，涉及313枚ETH。 ## 二、攻击者画像与资金流向分析 ### 核心攻击者地址通过持续追踪，我们发现以下攻击者地址最为活跃： - **地址**：`0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464` - **盗取总量**：约43,370 ETH - **占比**：93.38% 该地址几乎垄断了整个攻击链条，其行为模式呈现出高度自动化、系统化的特征。我们推测该攻击者可能已构建了完整的扫描-攻击-洗钱流水线。 ### 攻击趋势图从2018年3月20日至4月4日，盗币攻击的日分布图显示攻击强度并未随时间显著衰减。即使在我们披露技术细节后，攻击者仍在利用以太坊生态中未被修复的薄弱环节持续获利。 ## 三、恶意扫描IP全曝光为了从源头上遏制攻击行为，查找币安全团队联合生态合作伙伴，通过蜜罐日志和威胁情报分析，成功锁定了一批全球活跃的恶意扫描IP。这些IP被用于探测以太坊节点、钱包服务及智能合约的脆弱点。 ### 恶意扫描IP列表以下为截至发稿时已确认的恶意扫描IP（部分）： ``` - 45.55.xxx.xxx - 104.236.xxx.xxx - 138.197.xxx.xxx - 159.203.xxx.xxx - 178.62.xxx.xxx - 188.166.xxx.xxx - 192.81.xxx.xxx - 206.189.xxx.xxx - 207.154.xxx.xxx - 209.97.xxx.xxx ``` （完整IP列表请参见以太坊黑色情人节专题页面：https://4294967296.io/eth214/） ## 四、威胁分析与攻击模式 ### 攻击流程还原 1. **扫描阶段**：攻击者利用上述IP对全球以太坊节点进行端口扫描，重点探测8545、8546等RPC端口。 2. **渗透阶段**：一旦发现未正确配置的节点（如未启用身份验证），攻击者立即尝试调用`eth_sendTransaction`等敏感API。 3. **盗币阶段**：通过直接操控目标节点的私钥或代理转账，将资产转移至攻击者控制的地址。 4. **洗钱阶段**：利用去中心化交易所或混币服务将ETH转化为其他资产，掩盖资金流向。 ### 漏洞根源此次事件的核心缺陷在于以太坊生态中部分节点、钱包及DApp的**RPC接口未设置访问控制**。攻击者通过简单的端口扫描即可发现这些“裸奔”的服务，进而实施精准打击。 ## 五、防护建议查找币安全团队建议所有以太坊生态参与者立即采取以下措施： ### 1. 节点安全配置 - 禁用不必要的RPC接口，特别是`eth_sendTransaction` - 为RPC接口设置IP白名单或启用身份验证（如`--rpcpassword`） - 避免将RPC端口暴露在公网，使用SSH隧道或VPN进行访问 ### 2. 钱包安全加固 - 定期检查钱包软件的更新，修复已知漏洞 - 使用硬件钱包或冷钱包存储大额资产 - 启用多重签名机制，降低单点风险 ### 3. 智能合约审计 - 在部署前进行专业安全审计，重点关注权限控制和资金流 - 避免在合约中硬编码私钥或助记词 - 使用`require()`和`revert()`等机制严格限制函数调用权限 ### 4. 持续监控 - 部署蜜罐系统，主动捕获恶意扫描行为 - 订阅威胁情报源，及时获取最新攻击IP和漏洞信息 - 建立应急响应机制，发现异常立即冻结相关地址 ## 六、查找币的承诺作为以太坊生态的安全守护者，查找币科技将持续追踪此类攻击事件，并定期披露恶意IP和攻击手法。我们相信，通过透明化的威胁信息共享，能够有效提升整个生态的安全水位。 **特别提醒**：请所有以太坊节点运营者立即检查自己的RPC配置，切勿将敏感接口暴露在公网。如果你发现异常活动，欢迎通过我们的专题页面提交情报。 --- 本文由查找币安全团队整理发布 **关于查找币科技**：厦门查找币科技有限公司，专注区块链生态安全，团队拥有十多年一线网络安全攻防经验，曾为Google、微软、公安部等提供安全能力。核心业务涵盖智能合约审计、防御部署、地下黑客追踪，已为全球多家交易所和钱包提供安全保障。 **专题页面**：https://4294967296.io/eth214/ **官网**：https://查找币.com

以太坊生态安全漏洞持续追踪：恶意扫描IP全披露

查找币安全研究院

主题延伸阅读