作为业界第一个支持图灵完备智能合约的区块链平台,以太坊成为全球最有名的公有区块链基础设施之一。越来越多的用户选择以太坊平台进行数字货币的交易,或者基于该平台利用智能化合约构建去中心化的应用。然而,虽然区块链技术本身具有较强的安全性,但是整个以太坊生态系统却存在着多个薄弱环节,造成数字货币盗取攻击事件层出不穷。其中,以太坊客户端作为以太坊网络的基础,存在多处设计缺陷和安全隐患,这直接导致了针对以太坊持续数年的数字货币盗取攻击。具体来说,如果用户在运行客户端程序时配置不当,攻击者可以通过远程过程调用的方式对客户端进行操纵。为此,本文针对以太坊数字货币盗取攻击技术展开研究,设计并实现了一种以太坊数字货币盗取攻击分析系统。首先,为了发现攻击者并揭示其攻击手法,本文开发了一个以太坊专用的蜜罐系统,进行真实攻击数据的收集。在14个月的实验期内,该蜜罐系统总共捕获了来自约1700个独立IP地址,超过3.8亿次的真实远程过程调用请求。其次,通过对捕获到的样本数据进行分析,总共识别出47组攻击者的95个恶意以太坊账户地址,并检测到两大类共计7种主要攻击方法。具体来说,第一类攻击直接从目标客户端盗取数字货币,攻击手法包括被动等待账户解锁、主动破解账户、导入恶意账户、修改挖矿收益地址,其中被动等待账户解锁是主要攻击方式,本文进一步总结出攻击者使用的五种优化方法。第二类攻击利用目标客户端盗取其它账户,包括盗取私钥泄露账户的以太币,基于“零手续费交易”盗取ERC20代币,以及对“空投”代币进行“薅羊毛”攻击。总的来说,攻击者盗取以太坊数字货币的过程,主要分为三步:(1)寻找潜在目标;(2)构造攻击请求参数;(3)发送最终攻击请求。最后,为了估算攻击造成的损失,检测样本数据之外的攻击者账户,本文利用以太坊公开交易数据追踪和识别攻击者。具体来说,基于12.9亿条以太坊公开交易记录,通过污点分析和特征识别的方法,总共报告了114个攻击者控制的账户地址,并累计检测出盗取以太币的交易约1.5万条,造成超过5.7万枚以太币被盗;而针对盗取ERC20代币的攻击,累计检测出攻击者发送“零手续费交易”约13万条。本文是业界第一个针对以太坊数字货币盗取攻击的系统性研究。本文设计并实现的以太坊数字货币盗取攻击分析系统有效地捕获了攻击者的账户并报告了多种新型攻击方法。本文的研究结果表明,以太坊社区的开发者应该重视客户端程序当前存在的安全问题,不能过多的将安全责任转移给用户。同时,也希望相关用户对以太坊的安全问题能够有全面的认识,通过技术和管理手段提高系统的安全防护能力。本文相关成果已发表于RAID 2019国际会议(The 22nd International Symposium on Research in Attacks,Intrusions and Defenses)。