對于暫時無法關閉對公網暴露的RPC接口的節點，在不使用personal.unlockAccount()的情況下，仍然存在被盜幣的可能。

漏洞復現

被攻擊節點啟動參數為：geth–testnet–rpc–rpcaddr 0.0.0.0–rpcapi eth,personal console

攻擊者的攻擊步驟為：

1.攻擊者探測到目標開放了RPC端口->獲取當前節點的區塊高度、節點上的賬戶列表以及各賬戶的余額。根據蜜罐捕獲的數據，部分攻擊還會通過personal_listWallets接口進行查詢，尋找當前節點上已經unlocked的賬戶。

2.調用personal_unlockAccount接口嘗試解密用戶賬戶。假如用戶使用了弱口令，攻擊者將會成功解鎖相應賬戶。

3.攻擊者可以將解鎖賬戶中的余額全部轉給自己。

攻擊流程如下圖所示：

升級的爆破方式

根據偷渡漏洞的原理可以知道該攻擊方式有一個弊端：如果有兩個攻擊者同時攻擊一個節點，當一個攻擊者爆破成功，那么這兩個攻擊者都將可以取走節點中的余額。

誰付出了更多的手續費，誰的交易將會被先打包。這也陷入了一個惡性循環，盜幣者需要將他們的利益更多地分給打包的礦工才能偷到對應的錢。也正是因為這個原因，蜜罐捕獲到的爆破轉賬請求從最初的 personal_unlockAccount 接口逐漸變成了 personal_sendTransaction 接口。

personal_sendTransaction接口是Geth官方在2018/01新增了一個解決偷渡漏洞的RPC接口。使用該接口轉賬，解密出的私鑰將會存放在內存中，所以不會引起偷渡漏洞相關的問題。攻擊者與時俱進的攻擊方式不免讓我們驚嘆。

蜜罐捕獲攻擊JSON‐RPC相關數據分析

探測的數據包

對蜜罐捕獲的攻擊流量進行統計，多個 JSON-RPC 接口被探測或利用：

其中eth_blockNumber、eth_accounts、net_version、personal_listWallets等接口具有很好的前期探測功能，net_version可以判斷是否是主鏈，personal_listWallets則可以查看所有賬戶的解鎖情況。

personal_unlockAccount、personal_sendTransaction、eth_sendTransaction等接口支持解鎖賬戶或直接進行轉賬。

可以說，相比于第一階段的攻擊，后偷渡時代針對JSON-RPC的攻擊正呈現多元化的特點。

爆破賬號密碼

蜜罐在2018/05/24第一次檢測到通過unlockAccount接口爆破賬戶密碼的行為。截止2018/07/14蜜罐一共捕獲到809個密碼在爆破中使用。

攻擊者主要使用personal_unlockAccount接口進行爆破，爆破的payload主要是：

在所有的爆破密碼中有一個比較特殊：ppppGoogle；該密碼在personal_unlockAccount和personal_sendTransaction接口均有被多次爆破的痕跡。

轉賬的地址

蜜罐捕獲到部分新增的盜幣地址有：

攻擊來源 IP

區塊鏈技術與虛擬貨幣的火熱，賦予了鏈上貨幣們巨大的經濟價值，每個人都想在區塊鏈浪潮中分得一杯羹。黑客們更是如此，他們作為盜幣者，絞盡腦汁的想著各個角度攻擊區塊鏈與合約。當黑客棲身于礦工，他們不但能挖出區塊，也能挖出漏洞。