慢雾发布比特币被盗急救指南：如何利用链上留言与攻击者沟通

作者：Lisa 编辑：Sherry

背景

链上留言作为区块链世界中的独特沟通方式，近年来在各类安全事件中逐渐被广泛应用。例如，近期慢雾（SlowMist）协助 KiloEx 通过链上留言方式与攻击者展开多轮沟通，最终成功促成全部被盗资金 844 万美金的归还。在匿名环境下，链上留言不仅可作为建立初步对话的有效工具，还能为后续资金追回奠定基础。

此前，我们发布了《被盗急救指南之链上留言》一文，详细介绍了以太坊上的留言实现方式。而比特币网络同样支持链上留言，其核心工具是 OP_RETURN 指令。该指令允许用户在交易中嵌入最多 80 字节的自定义数据，这些数据不会参与交易验证，也不会影响 UTXO 状态，纯粹用于信息记录，并永久保存在区块链中。

如何使用 OP_RETURN 进行链上留言

步骤一：对留言内容进行编码

首先，将需要发送的文本信息转换为十六进制（HEX）格式。因为比特币链上的 OP_RETURN 指令仅接受 HEX 格式的数据。

例如，若要留言：

This is a test.

转换后的 HEX 数据为：

54686973206973206120746573742e

可以使用在线工具或通过 Python 脚本完成编码操作：

需要注意的是，留言内容必须少于 160 个十六进制字符（即 80 字节），如果超出长度，建议简化信息或将内容拆分成多笔留言发送。

步骤二：构建带 OP_RETURN 的交易

接下来，需使用支持自定义交易的比特币钱包或工具，创建一笔包含 OP_RETURN 输出的交易。

以 Bitcoin Core 为例，可通过 createrawtransaction 手动添加 OP_RETURN 输出：

这样构建的交易不会实际转账，而是仅在区块链上写入这段留言。

再以 imToken 钱包为例，进入 BTC 钱包转账界面，打开“高级模式”。在“OP_RETURN”输入框中输入十六进制信息，点击“下一步”确认交易信息并输入交易密码即可完成发送。请确保“输入金额 = 输出金额 + 矿工费”。

步骤三：广播交易

将已签名的交易通过比特币网络广播。由于 OP_RETURN 交易不会实际转账，因此仍需支付矿工费。等待矿工将其打包进区块后，一旦交易确认，留言便会永久存储在比特币区块链中。

步骤四：查看留言内容

交易完成后，会生成一个交易 ID（TXID）。用户可以通过区块浏览器查看这笔交易，浏览器通常会自动将 OP_RETURN 中的十六进制数据解码为 ASCII 文本，例如：

(https://mempool.space/tx/f4ac7abcb689df30ec5e8d829733622f389ca91367c47b319bc582e653cd8cab)

OP_RETURN 应用

在安全事件中，部分攻击者会利用 OP_RETURN 在链上留言，主动向项目方表达归还资金的意向；同时，项目方和白帽团队也会通过这种方式尝试与攻击者建立联系。除了谈判场景外，OP_RETURN 还可用于地址“标记”等操作。

例如，Chainalysis 曾披露，在 2022 年俄乌战争爆发前夕，一位身份不明的比特币用户利用 OP_RETURN 对近 1000 个疑似与俄罗斯安全部门有关联的地址进行了标记。这些留言采用俄语编写，直接指出这些地址可能参与了网络攻击或间谍活动：

• "GRU to SVR. Used for hacking!"

• "GRU to GRU. Used for hacking!"

• "GRU to FSB. Used for hacking!"

• "Help Ukraine with money from the GRU Khakir"

(https://mempool.space/address/1CMugHhsSf8Bzrp142BpvUynWBR1RiqMCk)

这位用户在发布这些警示时，并非单纯留言，而是配合烧毁了大量比特币。由于 OP_RETURN 输出的特性，任何发送到此类交易中的比特币都会被永久锁定，无法使用。据统计，这名用户在这一系列操作中烧毁了价值超过 30 万美元的比特币。

总结

比特币网络中的链上留言功能（如 OP_RETURN）提供了一种匿名、公开且不可篡改的沟通方式，广泛应用于资金追回初期的接触与信息传递。然而，需要注意的是，链上留言也可能被攻击者利用来诱导受害者访问恶意链接或执行高风险操作（如输入私钥解密等）。因此，务必保持警惕，避免在不受信任的设备上查看和处理可疑信息。遇到安全事件时，建议第一时间联系专业安全团队协助分析，提高资金追回的成功率。同时，用户和项目方应持续加强安全防护意识，防止成为攻击目标。