GitHub用户盗窃1400枚比特币的分析

一天，当你在支付宝上转账时，系统提示你转账失败，因为版本太低

如果弹出窗口不仅提示您交易失败，还附加了支付宝的更新链接，大多数人可能很容易点击该链接进行更新

如果此链接是钓鱼链接，并直接获得您的转账许可，您帐户中的资金也将被无情地转账

这一次，用户遇到了类似的情况

北京时间8月31日中国比特币事件，certik Skynet系统（Skynet）检测到GitHub用户“1400比特币被盗”的1400个比特币被盗代币已开始发送到多个不同的地址

受害人讲述了GitHub发行的electrum丢失了1400枚比特币，并公布了他的比特币钱包地址

在区块链浏览器（参考链接3)）中可以看到，8月30日，共有1404个BTC（价值1670万美元）从他的钱包中取出并存入黑客的钱包

事件恢复和分析

用户使用的是electrum比特币钱包，上次使用是在2017年。从那时起，electrum发布了安全更新，但用户尚未安装

当用户使用electrum进行交易时，钱包将向服务器广播交易。如果事务有问题，服务器将返回一条错误消息，并以弹出窗口的形式向用户显示

电子钱包

3.3.2不会验证服务器返回的错误消息，它甚至会以HTML格式呈现返回的信息（请参阅链接4））

值得一提的是，任何人都可以构建electrum节点服务器。如果用户连接到攻击者的服务器并启动事务，服务器可以返回任何设计的错误消息。例如，它返回一条错误消息，允许用户更新electrum钱包，如下图所示

然而，图中的链接指向攻击者自己的。一旦用户下载并安装书面恶意软件并将其钱包导入其中，钱包中的所有比特币都将被攻击者转移

事实上，许多攻击者会通过网络钓鱼发送消息，但本质上，这是一条真实的消息

在这起事件中，受害者的钱包连接到攻击者控制的服务器，导致收到服务器发送的钓鱼信息，然后攻击者转移了他所有的比特币

早在2018年底，electrum钱包的问题就引起了广泛讨论（请参阅链接4)>）

2019年中国比特币事件，钱包版本3.3.4正式修复了该问题。electrum钱包的后续版本将不再直接显示服务器返回给用户的内容，也不再使用HTML呈现

此外，由于旧版本的钱包仍然存在此问题，所有正常服务器将在3.3攻击之前拒绝钱包服务（DOS），以迫使用户更新（请参阅链接5））

certik安全团队建议

用户在使用钱包进行交易时，应确保钱包是最新版本，旧版本的钱包可能存在黑客可以利用的漏洞

用户在下载钱包更新时，应注意验证下载URL是否与官方一致，并在下载后验证钱包的签名

对于钱包开发团队来说，有必要找一个专业团队做好测试工作，以免因项目漏洞给用户造成损失

参考链接：

1.

2.

3.

4.

5.