有天,你在支付宝操作转账时,弹窗提示你因版本过低而导致转账失败。 如果弹窗内不仅仅提示你交易失败,还附上支付宝更新链接,大部分人可能都会顺手点击链接进行更新。 如果这个链接是个钓鱼链接,直接获取了你的转账权限,那么代表你账户内的钱也会被无情转移。 这次,就有一个用户遭遇了类似的情况。 北京时间8月31日,CertiK天网系统 (Skynet) 检测到,Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币,已开始被输送到多个不同的地址当中。 受害者在electrum的Github issue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址。 在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC(价值1670万美元)从他的钱包中被取出,存入了黑客的钱包中。
事件还原与分析
该用户使用的是Electrum比特币钱包,上次使用是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装。 用户在使用Electrum进行交易时,钱包会向服务器广播一笔交易,如果这笔交易出现了问题,服务器将返回错误信息并以弹窗的形式展现给用户。 3.3.2版本之前的Electrum钱包不会对服务器返回的错误信息进行验证,甚至还会对返回的信息进行html渲染(参考链接4)。 值得一提的是,任何人都可以去搭建一个Electrum节点服务器。如果一个用户连接到了攻击者的服务器并发起了一笔交易,服务器可以返回任何设计好的错误信息。比如返回一个让用户去更新Electrum钱包的错误信息,如下图所示。 然而,图中的链接指向了攻击者自己写的恶意软件,一旦用户下载安装该软件并把自己的钱包导入其中,钱包里所有的比特币就会被攻击者转走。 这其实本质上是一种钓鱼攻击,但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的,很多人都会信以为真。 (责任编辑:admin) |