主页 > imtoken钱包官网客服 > Github用户1400枚比特币被盗事件分析
Github用户1400枚比特币被盗事件分析
某天,你在支付宝上转账时,因为版本太低,弹窗提示转账失败。
如果弹窗不仅提示交易失败比特币是哪里来的,还附有支付宝更新链接,一般人可能会点击链接进行更新。
如果这个链接是钓鱼链接,直接获得了你的转账权限,就意味着你账户里的钱也会被无情的转走。
这一次比特币是哪里来的,一位用户遇到了类似的情况。
北京时间8月31日,CertiK天网系统(Skynet)检测到Github用户“1400BitcoinStolen”被盗的1400个比特币的代币开始被发送到多个不同的地址。
受害人在 electrum 的 Github issue 中讲述了丢失 1400 个比特币的事情,并公布了自己的比特币钱包地址。
在区块链浏览器(参考链接3)中可以看到,8月30日共计1404个BTC(价值1670万美元)从他的钱包中取出,存入黑客的钱包。
事件恢复和分析
用户使用的是 Electrum 比特币钱包,上次使用是在 2017 年。Electrum 此后发布了安全更新,但用户尚未安装。
当用户使用 Electrum 进行交易时,钱包将向服务器广播交易。 如果交易出现问题,服务器会返回错误信息,并以弹窗的形式显示给用户。
3.3.2版本之前的Electrum钱包不会校验服务器返回的错误信息,甚至会将返回信息渲染成html(参考链接4)。
值得一提的是,任何人都可以架设 Electrum 节点服务器。 如果用户连接到攻击者的服务器并发起交易,服务器可以返回任何设计的错误消息。 例如返回错误信息要求用户更新Electrum钱包,如下图所示。
不过图中的链接指向的是攻击者自己编写的恶意软件。 一旦用户下载并安装该软件并将自己的钱包导入其中,钱包中的所有比特币将被攻击者转移。
这其实本质上是钓鱼攻击,但是由于攻击者发送的钓鱼信息是通过官方Electrum钱包展示出来的,所以很多人会信以为真。
在这起事件中,受害者的钱包连接到攻击者控制的服务器,导致其收到来自服务器的钓鱼信息,攻击者转移了他所有的比特币。
Electrum 钱包的问题早在 2018 年底就已被广泛讨论(参考链接 4)。
Electrum官方在2019年的钱包3.3.4版本中修复了这个问题,后续版本的Electrum钱包将不再直接显示服务器返回给用户的内容,也不会渲染html。
另外,由于旧版钱包依然存在该问题,所有正常服务器都会对3.3之前版本的钱包进行拒绝服务(DoS)攻击,强制用户更新(参考链接5)。
CertiK 安全团队建议
用户在使用钱包进行交易时,需要确保钱包是最新版本。 旧版本的钱包可能存在可被黑客利用的漏洞。
用户在下载钱包更新时注意验证下载地址是否与官方一致,下载完成后验证钱包签名。
对于钱包开发团队来说,需要找一个专业的团队来做测试工作,以免项目出现漏洞,给用户造成损失。
参考链接:
1.
2.
3.
4.
5.