外链吧

 找回密码
 立即注册
查看: 2|回复: 0

门头沟事件被盗比特币 养老金投资数字货币 光链

[复制链接]

1万

主题

1万

帖子

115

积分

年度VIP

Rank: 3Rank: 3

积分
115
发表于 2020-9-16 13:57:02 | 显示全部楼层 |阅读模式
网站优化
有天你在支付宝操作转账时弹窗提示你因版本过低而导致转账失败

如果弹窗内不仅仅提示你交易失败还附上支付宝更新链接大部分人可能都会顺手点击链接进行更新

如果这个链接是个钓鱼链接直接获取了你的转账权限那么代表你账户内的钱也会被无情转移

这次就有一个用户遭遇了类似的情况okex注册

北京时间8月31日CertiK天网系统 (Skynet) 检测到 纯正区块链股龙头Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币已开始被输送到多个不同的地址当中

受害者在electrum的Github issue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址

在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC(价值1670万美元)从他的钱包中被取出 真正的挖矿app存入了黑客的钱包中

该用户使用的是Electrum比特币钱包上次使用是在2017年此后Electrum已经发布了安全更新但该用户一直没有安装 比特币自动交易软件

用户在使用Electrum进行交易时钱包会向服务器广播一笔交易如果这笔交易出现了问题服务器将返回错误信息并以弹窗的形式展现给用户

332版本之前的Electrum钱包不会对服务器返回的错误信息进行验证甚至还会对返回的信息进行html渲染(参考链接4)

值得一提的是任何人都可以去搭建一个Electrum节点服务器如果一个用户连接到了攻击者的服务器并发起了一笔交易服务器可以返回任何设计好的错误信息 我的比特币卖不掉比如返回一个让用户去更新Electrum钱包的错误信息如下图所示

然而图中的链接指向了攻击者自己写的恶意软件一旦用户下载安装该软件并把自己的钱包导入其中钱包里所有的

比特币

就会被攻击者转走

这其实本质上是一种钓鱼攻击但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的很多人都会信以为真

在本次事件中受害者的钱包连接上了攻击者所控制的服务器导致其收到了服务器发出的钓鱼信息进而被攻击者转走了自己的所有比特币

Electrum钱包存在的该问题早在2018年底就引起了广泛讨论(参考链接4)

Electrum官方在2019年钱包版本334中对该问题进行了修复后续版本的Electrum钱包不再会将服务器返回的内容直接展示给用户也不会对其进行html渲染

此外由于旧版本的钱包仍然存在这个问题因此所有的正常的服务器会对33版本之前的钱包进行拒绝服务(DoS)攻击以强制用户进行更新(参考链接5)

用户在使用钱包进行交易的时候需确保钱包为最新版本已防旧版本的钱包可能存在可被黑客利用的漏洞

用户在下载钱包更新的时候要注意验证下载URL是否与官方一致在下载完成后要对钱包的签名进行验证

对于钱包开发团队需要寻找专业团队做好测试工作以免项目出现漏洞给用户带来损失

参考链接:





上一篇:比特币转换人民币要多久 xmc币交易所 国盾区块链app
下一篇:阿瓦隆矿机a841拆解 以太坊分叉失败 中本村比特币创始人
回复

使用道具 举报

会员充值
正规网站优化群

外链吧
  • 外链吧
  • 豫ICP备17032527号-5
  • 手机版
  • 小黑屋
  • 外链吧
  • QQ Online
快速回复 返回顶部 返回列表