你有没有过这样的经历：将一笔资金发送到某个账户或是钱包后，这笔资金却不翼而飞？

如果你的私钥被盗，攻击者通常会安排一个 「清道夫」 程序来监控你的账户，然后伺机吃掉你的账户中的资产 —— 无论你在这个账户中存入 ETH 或其它代币，还是收到了空投，都会被清道夫转移走。

近日，一位加密大V便遭遇了这类攻击，并第一时间找到Beosin来处理。

什么是“清道夫”攻击？

所谓“清道夫”就是一段用于监控区块链数据的脚本，该脚本监视广播到网络的交易，以及临时存储待处理交易的内存池或 txpool（交易池）。一旦这些清扫脚本识别出来自目标钱包的传入或传出交易，它们就会在原始交易完成之前进行干预以签署新交易。

简单来说，对于私钥被盗地址来说，只要向其中发送ETH、代币或者空投等，便会被该脚本所监控到，由于其拥有该地址私钥，便立刻发送一笔交易抢在用户之前将其中的资产转移出去，用户一般通过手动发送交易，无法与脚本的速度相比。

所以在私钥被盗之后，如何转移地址中的资产便成为了困扰众多用户的问题。

• 代码的反应速度比人类快得多，我们应该如何应对？

• 用户不会立即意识到他们已被黑客入侵，如果用户执行了一笔重大交易，你可能首先认为交易停滞或待处理，或者小狐狸钱包功能失灵。

加密大V如何遭遇“清道夫”攻击？

2023年4月16日，Beosin的朋友蓝星（推特：@lanxing4）便遭遇了「清道夫攻击」。

事件大概是这样，蓝星被钓鱼攻击，攻击者获取到蓝星钱包的私钥，并将其写入清扫脚本，接着允许脚本在用户不知情的情况下签署交易，从而允许它完全和不受限制地控制钱包活动。

可以看到蓝星向该私钥被盗地址转移gas费，用于将地址中其他代币转移出去时，在后面的临近区块立刻被转移到了未知地址（如下图），这就是很明显的清道夫攻击。

该脚本持续监控进出用户帐户的交易，此时蓝星的这个钱包还存在一些虚拟资产，同时他还有一些虚拟币还押在其他合约上，如何转出成了蓝星一直头疼的问题。

Beosin如何拯救资金

Beosin安全团队和蓝星交流之后，发现他在X2Y2交易平台还质押有大概1000美元的资产，该资产并未被黑客监控到并转移出去，但如果该用户需要将其提取出来并转移到新的安全地址，那么就需要向被盗地址中转移gas，根据上述所说，gas会立刻被转移到黑客地址。

Beosin安全团队立刻对其资金进行了拯救，Beosin安全团队设计了在同一个区块中向被盗地址转移gas费，并且通过被盗地址将抵押资产提取出来，最后将资产转移到新的安全地址中的方案。

简单来说就是通过将多笔交易进行打包，并通过和区块验证者进行合作，直接将交易发送到出块者，避免了黑客通过对mempool的监控并发起“清道夫”攻击盗走用户发送到被盗地址的资产。

如果你发现钱包中有未经授权的交易，这是一个危险信号，表明你的钱包可能被黑客获取私钥。而且，如果你的钱包被黑客入侵，则有 95% 的可能性添加了“清道夫”机器人。

确保您的私钥安全是避免成为清道夫攻击受害者的最佳方法，因此，防范钓鱼攻击非常重要。一切要求你输入助记词私钥的情况，你都可以先将其假定为是钓鱼网站，同时可以配合使用Beosin Alert反钓鱼安全插件使用，如下图是Beosin Alert识别到一个假冒的Coinmarketcap网站。

当然，击败清道夫很困难，但并非不可能。假设您的地址中有资金（质押、流动性、NFT），而黑客不知何故没有注意到它或等待解锁过程完成，您必须尝试转移剩余的资金。如果您遭遇了清道夫攻击，您也可以第一时间向Beosin寻求帮助。