在过去的七天里,黑客窃取了价值超过750,000美元的比特币。
黑客(或黑客组织)使用对Electrum比特币钱包基础设施的巧妙攻击,制造了超过200比特币(在今天的交易所大约750,000美元)。
这次攻击导致合法的Electrum钱包应用程序在用户的计算机上显示一条消息,敦促他们从未经授权的GitHub存储库下载恶意钱包更新。
攻击于上周12月21日星期五开始,并且在GitHub管理员取下黑客的GitHub存储库之后,今天早些时候似乎暂时停止了攻击。
Electrum钱包的管理员预计很快就会有新的攻击,包括一个新的GitHub仓库或一个到另一个下载位置的链接。
这是因为虽然Electrum钱包管理员采取措施减轻其对攻击者的可用性,但此攻击核心的漏洞仍然没有打补丁。
攻击是如何工作的:
- 攻击者向Electrum钱包网络添加了数十个恶意服务器。
- 合法Electrum钱包的用户启动比特币交易。
- 如果事务到达其中一个恶意服务器,这些服务器将回复一条错误消息,该消息促使用户从恶意网站(GitHub repo)下载钱包应用更新。
- 用户单击该链接并下载恶意更新。
- 当用户打开恶意Electrum钱包时,应用程序会要求用户提供双因素身份验证(2FA)代码。这是一个红旗,因为这些2FA代码仅在发送资金之前请求,而不是在钱包启动时请求。
- 恶意的Electrum钱包使用2FA代码窃取用户的资金并将其转移到攻击者的比特币地址。
这里的问题是允许Electrum服务器在用户钱包内触发带有自定义文本的弹出窗口。
最初的攻击更有效,并且似乎欺骗了更多的用户,因为后来的攻击。这是因为Electrum钱包将这些服务器消息呈现为格式丰富的文本,使弹出窗口看起来更真实,并为用户提供可用且可点击的链接。
在收到攻击消息后,Electrum团队通过静默更新Electrum钱包应用程序做出回应,因此这些消息不再呈现为丰富的HTML文本。
“直到现在我们还没有公开披露这种[攻击],就在3.3.2发布时,攻击者就停止了,” Electrum钱包团队开发人员SomberNight 表示。“但他们现在又开始了这次袭击。”
并非所有收到这些新错误的用户都没有找到带有错误文本的神秘弹出窗口。有些用户比警报更不方便。这些用户手动将弹出窗口中显示的文本链接复制粘贴到其浏览器中,然后下载并安装受污染的Electrum钱包更新。
几个小时前GitHub管理员删除了包含恶意钱包版本的存储库时,攻击停止了。
如前所述,预计新攻击将开始,可能还有新的下载链接。但这里的问题仍然是攻击者的恶意服务器。
开发人员目前正在考虑更换发送带有错误代码的自定义错误消息的功能,然后Electrum钱包将在客户端解码并显示预设消息。
SomberNight表示,Electrum开发人员目前已经确定至少有33台已加入其网络的恶意Electrum服务器,但数量似乎在40-50左右。目前尚不清楚开发人员目前打算如何处理这些服务器。
閱讀更多 luoxi10449892 的文章
