有天,你在支付宝操作转账时,弹窗提示你因版本过低而导致转账失败。
如果弹窗内不仅仅提示你交易失败,还附上支付宝更新链接,大部分人可能都会顺手点击链接进行更新。
如果这个链接是个钓鱼链接,直接获取了你的转账权限,那么代表你账户内的钱也会被无情转移。
这次,就有一个用户遭遇了类似的情况。
北京时间8月31日,CertiK天网系统(Skynet)检测到,Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币,已开始被输送到多个不同的地址当中。
报告:CME的6月份比特币期货交易量创下历史新高:金色财经报道,根据CCData的数据,芝加哥商品交易所(CME)的6月份比特币期货交易量创下历史新高,增长28.6%,达到379亿美元。比特币微型期货(MBT)也实现了两位数的增长,交易价格达到7.02亿美元,增长了21.1%。这些合同规模较小,通常价值仅为标准合同的十分之一。在CME的比特币期货案例中,这一比例为1/50。
报告指出,BTC合约交易总量为264,323份,较上月增长22.7%。[2023/7/6 22:20:27]
受害者在electrum的Githubissue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址。
报告:Pantera Capital旗下三只数字资产基金收益率均实现三位数增长:一份投资报告显示,加密投资公司Pantera Capital旗下三只数字资产基金的收益率均实现三位数的增长, IC0基金到2020年结束为止上涨了500%以上,比特币基金增长了299% 。(TheBlockCrypto)[2021/1/15 16:11:54]
在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC从他的钱包中被取出,存入了黑客的钱包中。
Messari报告:就风险调整后的收益而言,比特币的表现优于全球最大的对冲基金:11月12日消息,Messari在最近的研究报告中透露,就风险调整后的收益而言,比特币的表现优于全球最大的对冲基金。该数据分析平台指出,比特币的夏普比率(Sharpe Ratio)为“3”。夏普比率表示的是投资者持有一种风险较高的资产时,资产额外波动所带来的回报增长率。报告作者Mira Christanto指出,在过去三年里,比特币与股票、黄金、原油等其他资产类别的相关性最低,这增加了加密货币对投资者的吸引力,因为它能够抵消投资组合的潜在损失。他还表示,主权财富基金和养老基金正在关注比特币。(bitcoinist)[2020/11/12 14:08:10]
报告:区块链领域2013年以来已进行129项并购交易,总价值约26亿美元:The Block 6月24日刊文称,自2013年以来,区块链领域共进行了129项并购交易,报告总价值约为26亿美元。其中交易产品和交易所在已报告的并购交易总额中约占48%,占所有交易的23%;此外,Coinbase、Binance和Kraken这三家公司在并购方面最为活跃,至少拥有10项并购交易。[2020/6/24]
事件还原与分析
该用户使用的是Electrum比特币钱包,上次使用是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装。
用户在使用Electrum进行交易时,钱包会向服务器广播一笔交易,如果这笔交易出现了问题,服务器将返回错误信息并以弹窗的形式展现给用户。
3.3.2版本之前的Electrum钱包不会对服务器返回的错误信息进行验证,甚至还会对返回的信息进行html渲染。
值得一提的是,任何人都可以去搭建一个Electrum节点服务器。如果一个用户连接到了攻击者的服务器并发起了一笔交易,服务器可以返回任何设计好的错误信息。比如返回一个让用户去更新Electrum钱包的错误信息,如下图所示。
然而,图中的链接指向了攻击者自己写的恶意软件,一旦用户下载安装该软件并把自己的钱包导入其中,钱包里所有的比特币就会被攻击者转走。
这其实本质上是一种钓鱼攻击,但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的,很多人都会信以为真。
在本次事件中,受害者的钱包连接上了攻击者所控制的服务器,导致其收到了服务器发出的钓鱼信息,进而被攻击者转走了自己的所有比特币。
Electrum钱包存在的该问题早在2018年底就引起了广泛讨论(参考链接4)。
Electrum官方在2019年,钱包版本3.3.4中对该问题进行了修复,后续版本的Electrum钱包不再会将服务器返回的内容直接展示给用户,也不会对其进行html渲染。
此外,由于旧版本的钱包仍然存在这个问题,因此所有的正常的服务器会对3.3版本之前的钱包进行拒绝服务攻击,以强制用户进行更新。
CertiK安全团队建议
用户在使用钱包进行交易的时候,需确保钱包为最新版本,已防旧版本的钱包可能存在可被黑客利用的漏洞。
用户在下载钱包更新的时候要注意验证下载URL是否与官方一致,在下载完成后要对钱包的签名进行验证。
对于钱包开发团队,需要寻找专业团队做好测试工作,以免项目出现漏洞给用户带来损失。
参考链接:
1.https://github.com/spesmilo/electrum/issues/5072
2.https://zhuanlan.zhihu.com/p/53920688
3.https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54
4.https://github.com/spesmilo/electrum/issues/4968
5.http://twitter.com/electrumwallet/status/1106479573917724672
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。