如果這個(gè)鏈接是個(gè)釣魚鏈接，直接獲取了你的轉(zhuǎn)賬權(quán)限，那么代表你賬戶內(nèi)的錢也會(huì)被無情轉(zhuǎn)移。

這次，就有一個(gè)用戶遭遇了類似的情況。

北京時(shí)間8月31日，CertiK天網(wǎng)系統(tǒng)(Skynet)檢測(cè)到，Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣，已開始被輸送到多個(gè)不同的地址當(dāng)中。受害者在electrum的Githubissue中講述了自己丟失了1400個(gè)比特幣并貼出了自己的比特幣錢包地址。

在區(qū)塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC（價(jià)值1670萬美元）從他的錢包中被取出，存入了黑客的錢包中。

事件還原與分析

該用戶使用的是Electrum比特幣錢包，上次使用是在2017年。此后Electrum已經(jīng)發(fā)布了安全更新，但該用戶一直沒有安裝。

用戶在使用Electrum進(jìn)行交易時(shí)，錢包會(huì)向服務(wù)器廣播一筆交易，如果這筆交易出現(xiàn)了問題，服務(wù)器將返回錯(cuò)誤信息并以彈窗的形式展現(xiàn)給用戶。

3.3.2版本之前的Electrum錢包不會(huì)對(duì)服務(wù)器返回的錯(cuò)誤信息進(jìn)行驗(yàn)證，甚至還會(huì)對(duì)返回的信息進(jìn)行html渲染（參考鏈接4）。

值得一提的是，任何人都可以去搭建一個(gè)Electrum節(jié)點(diǎn)服務(wù)器。如果一個(gè)用戶連接到了攻擊者的服務(wù)器并發(fā)起了一筆交易，服務(wù)器可以返回任何設(shè)計(jì)好的錯(cuò)誤信息。比如返回一個(gè)讓用戶去更新Electrum錢包的錯(cuò)誤信息，如下圖所示。

然而，圖中的鏈接指向了攻擊者自己寫的惡意軟件，一旦用戶下載安裝該軟件并把自己的錢包導(dǎo)入其中，錢包里所有的比特幣就會(huì)被攻擊者轉(zhuǎn)走。

這其實(shí)本質(zhì)上是一種釣魚攻擊，但由于攻擊者發(fā)出的釣魚信息是通過Electrum官方錢包展示出來的，很多人都會(huì)信以為真。

在本次事件中，受害者的錢包連接上了攻擊者所控制的服務(wù)器，導(dǎo)致其收到了服務(wù)器發(fā)出的釣魚信息，進(jìn)而被攻擊者轉(zhuǎn)走了自己的所有比特幣。

Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。

Electrum官方在2019年，錢包版本3.3.4中對(duì)該問題進(jìn)行了修復(fù)，后續(xù)版本的Electrum錢包不再會(huì)將服務(wù)器返回的內(nèi)容直接展示給用戶，也不會(huì)對(duì)其進(jìn)行html渲染。

此外，由于舊版本的錢包仍然存在這個(gè)問題，因此所有的正常的服務(wù)器會(huì)對(duì)3.3版本之前的錢包進(jìn)行拒絕服務(wù)（DoS）攻擊，以強(qiáng)制用戶進(jìn)行更新（參考鏈接5）。

CertiK安全團(tuán)隊(duì)建議:

- 用戶在使用錢包進(jìn)行交易的時(shí)候，需確保錢包為最新版本，已防舊版本的錢包可能存在可被黑客利用的漏洞。 - 用戶在下載錢包更新的時(shí)候要注意驗(yàn)證下載URL是否與官方一致，在下載完成后要對(duì)錢包的簽名進(jìn)行驗(yàn)證。 - 對(duì)于錢包開發(fā)團(tuán)隊(duì)，需要尋找專業(yè)團(tuán)隊(duì)做好測(cè)試工作，以免項(xiàng)目出現(xiàn)漏洞給用戶帶來損失。

參考鏈接:

1. https://github.com/spesmilo/electrum/issues/5072 2. https://zhuanlan.zhihu.com/p/53920688 3. https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54 4. https://github.com/spesmilo/electrum/issues/4968 5. http://twitter.com/electrumwallet/status/110647957391772467

熱點(diǎn)：比特幣 比特幣被盜 特幣