ARB空投遭黑客攻击，抗争复盘

起因： 很多被盗钱包有$ARB空投资格，如果不采取任何措施，会被黑客领走。

过程： 粉丝提的钱包能领40,000 $ARB，我写了批量领取合约和ethers.js脚本，WTF贡献者帮忙优化，使用了私有节点。成功抢救30,000 $ARB。

结果： 核心代码已开源。@WTFAcademy_ @arbitrum

起因： 这次有上千个被黑客盗取私钥的钱包有资格领$ARB，正好兜兜在WTF社群里发了一张泄露私钥的图引起了我的兴趣，想试试做白帽和黑客抢钱，顺便赚取赏金。图里的私钥是哪找的？其实是remix、hardhat、foundry等工具中的默认测试钱包。里面大概能领4000 $ARB。

抢$ARB空投要点（3点）： 1.节点：必须要自己搭Arbitrum全节点。因为公开的rpc会卡，限制请求次数/速度，且空投开始时大量用户调用会导致宕机。Arbitrum节点大概需要1.4T硬盘，推荐用SSD。 2.批量转ETH+claim+归集$ARB脚本：脚本基于ethers.js库，在达到区块高度后，开始循环重复上述操作。这一方法完全依赖脚本，大概40%的$ARB是用这个方法抢的。 3.批量归集合约：$ARB使用了ERC20Permit合约，授权不需要通过交易，只需要链下签名即可。因此我们可以写一个批量归集合约，当黑客claim空投之后，我们立刻抢走。这里你需要理解签名（EIP712）和ERC20Permit合约。

有了这次经验，我们会优化节点、合约和脚本，下次从黑客手中抢$zksync、$scroll、$strk胜算会更大。WTF Academy会继续提供抢空投白帽服务。目前领$ARB空投的核心代码已开源在GitHub，欢迎有能力的开发者使用。

收益分配： 这次抢到的代币一半会发给提供私钥的粉丝，剩下一半：50%给WTF Academy，用于激励安全、MEV、Arbitrum方向的教程，30%给我，10%给节点，10%给WTF贡献者。

最后回答一些粉丝的问题： 1.昨天我钱包里的$ARB被转走了，你能帮忙追回吗？（不下10个人问这个问题） 帮不了，被转到黑客钱包，就追不回来了。 2.新人如何学习Solidity？如果你完全没有编程经验，建议先学javascript，我们在更新一个WTF JavaScript零基础教程。

热点：RBF币圈 比特币攻击 攻击比特币 币圈攻击 币圈被黑客