在過去的七天裡,黑客竊取了價值超過750,000美元的比特幣。
黑客(或黑客組織)使用對Electrum比特幣錢包基礎設施的巧妙攻擊,製造了超過200比特幣(在今天的交易所大約750,000美元)。
這次攻擊導致合法的Electrum錢包應用程序在用戶的計算機上顯示一條消息,敦促他們從未經授權的GitHub存儲庫下載惡意錢包更新。
攻擊於上週12月21日星期五開始,並且在GitHub管理員取下黑客的GitHub存儲庫之後,今天早些時候似乎暫時停止了攻擊。
Electrum錢包的管理員預計很快就會有新的攻擊,包括一個新的GitHub倉庫或一個到另一個下載位置的鏈接。
這是因為雖然Electrum錢包管理員採取措施減輕其對攻擊者的可用性,但此攻擊核心的漏洞仍然沒有打補丁。
攻擊是如何工作的:
- 攻擊者向Electrum錢包網絡添加了數十個惡意服務器。
- 合法Electrum錢包的用戶啟動比特幣交易。
- 如果事務到達其中一個惡意服務器,這些服務器將回復一條錯誤消息,該消息促使用戶從惡意網站(GitHub repo)下載錢包應用更新。
- 用戶單擊該鏈接並下載惡意更新。
- 當用戶打開惡意Electrum錢包時,應用程序會要求用戶提供雙因素身份驗證(2FA)代碼。這是一個紅旗,因為這些2FA代碼僅在發送資金之前請求,而不是在錢包啟動時請求。
- 惡意的Electrum錢包使用2FA代碼竊取用戶的資金並將其轉移到攻擊者的比特幣地址。
這裡的問題是允許Electrum服務器在用戶錢包內觸發帶有自定義文本的彈出窗口。
最初的攻擊更有效,並且似乎欺騙了更多的用戶,因為後來的攻擊。這是因為Electrum錢包將這些服務器消息呈現為格式豐富的文本,使彈出窗口看起來更真實,併為用戶提供可用且可點擊的鏈接。
在收到攻擊消息後,Electrum團隊通過靜默更新Electrum錢包應用程序做出回應,因此這些消息不再呈現為豐富的HTML文本。
“直到現在我們還沒有公開披露這種[攻擊],就在3.3.2發佈時,攻擊者就停止了,” Electrum錢包團隊開發人員SomberNight 表示。“但他們現在又開始了這次襲擊。”
並非所有收到這些新錯誤的用戶都沒有找到帶有錯誤文本的神秘彈出窗口。有些用戶比警報更不方便。這些用戶手動將彈出窗口中顯示的文本鏈接複製粘貼到其瀏覽器中,然後下載並安裝受汙染的Electrum錢包更新。
幾個小時前GitHub管理員刪除了包含惡意錢包版本的存儲庫時,攻擊停止了。
如前所述,預計新攻擊將開始,可能還有新的下載鏈接。但這裡的問題仍然是攻擊者的惡意服務器。
開發人員目前正在考慮更換髮送帶有錯誤代碼的自定義錯誤消息的功能,然後Electrum錢包將在客戶端解碼並顯示預設消息。
SomberNight表示,Electrum開發人員目前已經確定至少有33臺已加入其網絡的惡意Electrum服務器,但數量似乎在40-50左右。目前尚不清楚開發人員目前打算如何處理這些服務器。
閱讀更多 luoxi10449892 的文章
