当前位置:首页 > 知识 >

比特币安全必知的事项

有一天,你在支付宝操作转账时,弹窗通知你由于版本过低导致转账失败。如果这个弹窗不仅提示交易失败,还有支付宝更新的链接,大多数人可能会点击链接进行更新。但如果这个链接是钓鱼链接,直接获取了你的转账权限,那么你的钱也会被转移。

就有一个用户遇到了类似的情况。北京时间8月31日,CertiK天网系统发现,一个Github用户称自己丢失了1400枚比特币,而且这些比特币已经被转移到不同的地址中。受害者在electrum的Github issue中讲述了自己丢失比特币的情况,并贴出了自己的比特币钱包地址。在区块链浏览器中可以看到,8月30日共有1404枚比特币(价值1670万美元)从他的钱包中被取出,转移到了黑客的钱包。

事件还原与分析:该用户使用的是Electrum比特币钱包,上次使用是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装。用户使用Electrum进行交易时,钱包会向服务器广播一笔交易,如果这笔交易出现问题,服务器将返回错误信息并以弹窗形式展现给用户。在3.3.2版本之前的Electrum钱包中,不会对服务器返回的错误信息进行验证,甚至会对返回的信息进行html渲染。任何人都可以搭建一个Electrum节点服务器,如果一个用户连接到了攻击者的服务器并发起了一笔交易,服务器可以返回任何设计好的错误信息,比如让用户更新Electrum钱包的错误信息。然而,这个链接指向了攻击者自己写的恶意软件,一旦用户下载安装该软件并导入自己的钱包,钱包中所有的比特币就会被攻击者转走。

这其实是一种钓鱼攻击,但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的,很多人会信以为真。在本次事件中,受害者的钱包连接到了攻击者所控制的服务器,导致其收到了服务器发出的钓鱼信息,进而被攻击者转走了所有比特币。早在2018年底,Electrum钱包存在的这个问题已经引起了广泛讨论。Electrum官方在2019年的钱包版本3.3.4中修复了这个问题,后续版本的钱包不会再将服务器返回的内容直接展示给用户,也不会对其进行html渲染。此外,由于旧版本的钱包仍然存在这个问题,所有正常的服务器都会对3.3版本之前的钱包进行拒绝服务攻击,以强制用户进行更新。

CertiK安全团队建议用户在使用钱包进行交易时,要确保钱包是最新版本,以防旧版本的钱包存在被黑客利用的漏洞。在下载钱包更新时,要注意验证下载URL是否与官方一致,并对钱包的签名进行验证。钱包开发团队需要寻找专业团队进行测试,以免项目出现漏洞造成用户损失。

猜你喜欢

关注我们

微信二维码

微信