简介 | 如何打败以太坊清道夫并拯救你的资产

您是否有过将一笔钱汇入一个帐户却让它消失的经历？ 你可能中了“清道夫”的毒。 我们在这里帮助您摆脱危机。

如果你的私钥被盗，作恶者通常会安排一个“清道夫”程序来监控你的账户，然后伺机吃掉你账户中的资产——无论你是在这个账户中存入ETH还是其他代币，或者收到一个空投，或类似的东西。

本文概述了“清道夫”是如何吃掉用户资产的，并提供了三种方法来挽救没有被吃掉的资金（比如存款）。

用户私钥是如何泄露的？

我们最近看到很多用户冒充 Telegram 群组的管理员，然后在这些合法群组的主要频道中向用户提供“帮助”（虽然他们不是真正的管理员，但他们正在复制真正的管理员的个人资料, 只是用户名略有改变)。 冒牌管理员经常使用专业语言来迷惑用户，向用户分享看似合法网站的链接（因为品牌背书）。 这些站点要求用户提供私钥或助记词。

然后你的代币就没了，“拾荒者”开始监控你的账户。

以下是钓鱼网站的示例：

- 感谢研究员@dubstard 发现了大量冒充 WalletConnect 的活动！ -

“清道夫”如何运作？

“清道夫”是一段监控区块链（包括交易池，技术上是链下的）的代码。 它具有比人类更快的反应速度，并且被编程为签署符合规则的特定交易。

也就是说，“清道夫”看不到你，它不知道你正在区块链浏览器上查看你的地址，或者将你的地址“连接”到 dApp 的用户界面。 它只会在您签署交易并将其广播到网络时看到您的活动。

“清道夫”和使用它的网络钓鱼诈骗随着时间的推移而演变。

“清道夫”的演变

2017 年非常流行的一种骗局利用了具有锁定功能 [即无法成功调用 transfer()] 和喂价的代币。 Dave Appleton 发布了一篇揭露此类骗局的帖子。

在此类骗局中，骗子会先获取可锁定的代币，但区块浏览器仍会提供此类代币的价格【其中最受欢迎的是Minerum（MNE）】。 然后，骗子会（假装无意）公布存放此类代币的地址的私钥，引诱受害人拿走该地址中的代币。 为了提取代币，受害者会将 ETH 转入该地址作为燃料费。 然而，骗子却安排了“清道夫”，将受害人转账的ETH瞬间转移到自己的账户中。 从理论上讲，锁定的代币被认为一文不值，因此诈骗者试图从毫无戒心的贪婪用户那里恢复部分锁定的价值。

如今，被黑地址已被广泛用于放置底层ETH“清道夫”。 也有一些诈骗集团采用逻辑上更先进的“清道夫”，根据喂价吃掉 ERC 20 代币。

前段时间，我对一个被黑地址进行了研究，发现这些“清道夫”还在不断进化：

1）“拾荒者”喜欢吃高价值资产，哪怕这意味着更多的交易手续费。

2）“清道夫”会使用所有可用的 ETH 来窃取尽可能多的价值，并且它的交易有很高的概率在相同的 nonce 上获胜。

3) “清道夫”有一个匹配引擎，将其原生代币与质押代币（即 xKNCa = KNC）配对，以获得质押代币的价格信息。

4) “清道夫”有自己的内部随机数计数器，如果其最高随机数在一段时间内未被确认（或丢弃/替换），则定期将随机数重置为 eth.getTransactionCount() 的输出。

5）我们通过链上的一些活动可以看出，如果某项高价值资产成为“清道夫”眼中的猎物，“清道夫”甚至会转一些ETH到相关账户作为gas费，这样一来资产从账户中转出。

6）一些“拾荒者”会对资产价值设定一个最低门槛。 “清道夫”不会吃低于这个门槛的资产。 这意味着，您可能不知道您的帐户中有“清道夫”。 仔细想想。

鉴于我们在2017年第一次写到“清道夫”，今天的“清道夫”已今非昔比，帮助运营商实现收益最大化，同时让受害者损失最大化。

停下来！ 清道夫！

如何打败“清道夫”？

首先，作为一个人，你并不比代码快，所以我们的解决方案将涉及代码。 这里有几种不同的解决方案。 虽然不能保证100%有效，但总有一款适合你。

你需要创建一个你想要挽救的硬币列表（按优先顺序），这样你就可以轻松地计划。 此列表需要包括以下内容：

最重要的是，您必须有条不紊，以便快速有效地执行程序。 正如那句名言所说：“凡事有预兆，无事不预兆”。

使用太极网络“清道夫”通过监控交易池中的交易转移到“猎物”地址来工作。 这样，“清道夫”就可以在交易确认之前签署另一笔交易并广播交易，从而拿走转移的资金。 太极网络允许您将已签名的交易直接提交给矿工（即星火矿池），而无需将其广播到公共交易池。 这意味着你的交易将进入“清道夫”盲点，不会被“清道夫”机器人抢占（至少以我的经验）。

- 来源：太极网 -

具体方法是将你所有的交易按照nonce顺序进行预签名，通过编程方式提交给太极网络。 大多数“清道夫”只监控公共交易池以寻找等待被收录的以太坊交易，不会为每个新区块调用 eth_getBalance（这是为了节省 CPU 周期和 RPC 调用）。 也就是说，“清道夫”看不到通过私人交易池发送到“猎物”账户的ETH，也不会吃掉。 您需要做一些计算，以确保作为汽油费发送到账户的 ETH 可以完全用于每笔已签署的交易。 如果你的计算准确的话以太坊账户找回，“清道夫”可能会错过提前开始的机会！ （通常我会默认将gas fee设置为比GasNow上的“Rapid”参考值高几个百分点，以提高交易被包含在下一个区块的概率。）你可以使用MyCrypto来生成交易签名并在准备好后将它们发送到 Taichi 网络，或者使用 ethers.js（或其他代码库）编写代码来创建签名交易。

使用具有自毁功能的智能合约类似于使用太极网络。 我们可以使用智能合约将 ETH 转入账户，而无需公开交易池中的交易。 为此，我们可以通过安全地址部署智能合约，并通过其构造函数将 ETH 发送到被黑地址（这将是内部交易）。

pragma solidity >=0.7.0 <0.9.0;
contract MoveETH {    constructor(address sendToAddress) payable {        address payable addr = payable(address(sendToAddress));        selfdestruct(addr);    }}

通过部署这个合约，我们可以将 ETH 和一串被黑地址作为参数发送给构造函数。 合约在同一笔交易中创建和自毁。 其中，selfdestruct()表示我们会清空合约的区块链状态（所以这个合约是一次性的），并在同一笔交易中将ETH发送到被黑地址。
示例：请注意，虽然此方法有效，但它会产生额外费用，因为我们所做的不仅仅是将 ETH 从一个帐户转移到另一个帐户。 这种方法需要花费大约 70,000 gas。 当 gas 价格高时，仅 gas 成本就高达 0.0112 ETH。 接下来，我们将通过太极网络从被黑地址广播预签交易（这里也可以使用公共节点，请将账户中的全部ETH余额设置为gas fee，以免被“清道夫”抢占（至少尽量减少这种可能性），因为在这种情况下，“清道夫”必须向被黑账户发送更多的 ETH 才能赢得汽油费拍卖）。


使用Flashbots，一般来说，我们需要支付ETH才能将交易上链（因为交易费用由交易发送方支付）。 然而，有了 Flashbots，我们可以从链上的外部账户获取交易而无需支付 gas 费（即交易费），只需用另一个账户的资金“贿赂”矿工即可。 也就是说，我们不需要向被黑地址转一笔ETH作为手续费，我们就可以拿走这个地址上的代币。 没错，就是这样！ 该方案需要使用两个账户——被黑账户和用于贿赂矿工的账户。  Flashbots团队发布了一个名为Flashbots/searcher-sponsored-tx的项目，介绍了如何通过该方案将交易上链的基本原理。 我们将使用另一个账户的资金来支付交易费用，因此被黑账户中不需要 ETH。 事实上，我们希望被黑账户中没有 ETH。 毕竟，我们最不希望的就是让骗子/“清道夫”意识到我们要提取资金并使用账户中的原始 ETH 来运行我们。 为确保被黑帐户中没有 ETH，我们强烈建议运行 burner 机器人。 我们通常建议在多台机器上运行 burner-bot，并为每个实例使用不同的 RPC 节点。 例如，使用 Infura 在本地运行刻录机，并使用其他提供商（如 Quiknode）在远程服务器上运行刻录机。
这允许在出现诸如高网络延迟或节点故障（例如速率限制、同步问题等）等问题时提供冗余。  Flashbots/searcher-sponsored-tx 中的代码需要根据您的具体需求进行修改，但是这里有一个引擎可以帮助您在被黑地址中保存令牌。  Flashbots 引擎非常灵活，可以支持单个 transfer() 调用，或 unstake() 和 transfer() 调用。 如果看不懂代码，也可以试试@kendricktan/flashbots.tools 网站提供的Flashbots功能UI：。 打个广告：如果以上解决方案对您来说太难了，您也可以向我们寻求帮助，我们将收取回收资金的5%作为奖励。 虽然我们想免费提供这项服务，但由于我们收到的请求数量有限，我们的时间有限。 我们将用这项服务的收入来促进区块链行业的安全发展！ 感谢您的理解。 如果您想获得此服务，请发送电子邮件至 support@mycrypto.com，主题为“Account Sweeper - Requesting Assistance！” 上面的电子邮件地址是寻求帮助的唯一途径。 我们不会在 Telegram、Discord 或其他地方宣传该服务，以免引入额外的风险。
！！！ 如何从根本上避免“清道夫”？  ！！！
最好的防范措施当然是保护自己的地址不被“拾荒者”入侵，就不用和“拾荒者”斗智斗勇了。 近年来，我们在一些应用程序 UI 中看到了相反的情况——允许用户在 dapp 界面上使用原始机密信息。 这是非常不安全的做法，不应鼓励。

切勿在联网设备或任何网页上输入您的原始机密信息（私钥、密钥存储文件和助记词）。 我们建议使用硬件钱包来确保私钥存储在单独的设备上——如果您使用 MetaMask 与 dApp 交互以太坊账户找回，MetaMask 最近发布了一个更新，允许用户使用多个硬件钱包地址。 如果您使用移动设备与 dApp 交互，我们建议您使用 WalletConnect 来签署消息（注意：WalletConnect 绝不会要求您提供机密信息）。联系我们
（结束）
（本文链接较多，可点击左下方“阅读原文”从EthFans网站获取）
原文链接：