主页 > imtoken钱包官网登录 > GitHub用户盗窃1400枚比特币的分析
GitHub用户盗窃1400枚比特币的分析
一天,当你在支付宝上转账时,系统提示你转账失败,因为版本太低
如果弹出窗口不仅提示您交易失败,还附加了支付宝的更新链接,大多数人可能很容易点击该链接进行更新
如果此链接是钓鱼链接,并直接获得您的转账许可,您帐户中的资金也将被无情地转账
这一次,用户遇到了类似的情况
北京时间8月31日中国比特币事件,certik Skynet系统(Skynet)检测到GitHub用户“1400比特币被盗”的1400个比特币被盗代币已开始发送到多个不同的地址
受害人讲述了GitHub发行的electrum丢失了1400枚比特币,并公布了他的比特币钱包地址
在区块链浏览器(参考链接3))中可以看到,8月30日,共有1404个BTC(价值1670万美元)从他的钱包中取出并存入黑客的钱包
事件恢复和分析
用户使用的是electrum比特币钱包,上次使用是在2017年。从那时起,electrum发布了安全更新,但用户尚未安装
当用户使用electrum进行交易时,钱包将向服务器广播交易。如果事务有问题,服务器将返回一条错误消息,并以弹出窗口的形式向用户显示
电子钱包
3.3.2不会验证服务器返回的错误消息,它甚至会以HTML格式呈现返回的信息(请参阅链接4))
值得一提的是,任何人都可以构建electrum节点服务器。如果用户连接到攻击者的服务器并启动事务,服务器可以返回任何设计的错误消息。例如,它返回一条错误消息,允许用户更新electrum钱包,如下图所示
然而,图中的链接指向攻击者自己的。一旦用户下载并安装书面恶意软件并将其钱包导入其中,钱包中的所有比特币都将被攻击者转移
事实上,许多攻击者会通过网络钓鱼发送消息,但本质上,这是一条真实的消息
在这起事件中,受害者的钱包连接到攻击者控制的服务器,导致收到服务器发送的钓鱼信息,然后攻击者转移了他所有的比特币
早在2018年底,electrum钱包的问题就引起了广泛讨论(请参阅链接4)>)
2019年中国比特币事件,钱包版本3.3.4正式修复了该问题。electrum钱包的后续版本将不再直接显示服务器返回给用户的内容,也不再使用HTML呈现
此外,由于旧版本的钱包仍然存在此问题,所有正常服务器将在3.3攻击之前拒绝钱包服务(DOS),以迫使用户更新(请参阅链接5))
certik安全团队建议
用户在使用钱包进行交易时,应确保钱包是最新版本,旧版本的钱包可能存在黑客可以利用的漏洞
用户在下载钱包更新时,应注意验证下载URL是否与官方一致,并在下载后验证钱包的签名
对于钱包开发团队来说,有必要找一个专业团队做好测试工作,以免因项目漏洞给用户造成损失
参考链接:
1.
2.
3.
4.
5.