ELEC:Github用户1400枚比特币被盗事件分析

有天，你在支付宝操作转账时，弹窗提示你因版本过低而导致转账失败。

如果弹窗内不仅仅提示你交易失败，还附上支付宝更新链接，大部分人可能都会顺手点击链接进行更新。

如果这个链接是个钓鱼链接，直接获取了你的转账权限，那么代表你账户内的钱也会被无情转移。

这次，就有一个用户遭遇了类似的情况。

北京时间8月31日，CertiK天网系统(Skynet)检测到，Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币，已开始被输送到多个不同的地址当中。

Marathon Digital CEO：拜登对比特币矿工征税的计划不会成功:金色财经报道，美国总统乔-拜登的政府最近宣布了一项对美国比特币矿工征税的提议。但Marathon Digital首席执行官Fred Thiel表示，这种政策方法如果实施，将把挖矿公司赶到国外，不会筹集到预期的资金。Thiel证实，该公司上个月收到了美国证券交易委员会的传票，但他说，这并不表明除了要求提供信息之外还有什么。Thiel 表示，他相信政府内部有更广泛的举措来瞄准比特币经济，包括矿工。虽然我不会说他们想要杀死比特币，但他们想让人们很难操作，并补充说该公司已经在寻求在国外发展。 马拉松刚刚在阿布扎比宣布了一个新项目，还在巴拉圭等地积极寻找世界各地的新项目。[2023/5/19 15:12:31]

受害者在electrum的Githubissue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址。

INX Digital发布Q1财报：不包括INX代币和代币认股权证负债的净亏损为470万美元:金色财经报道，加密交易所运营商INX Digital Company发布了2023年一季度财报，其中提到不包括INX代币和代币认股权证负债的调整后净亏损额为470万美元，当前持有的营运资金为2400万美元，总收入为160万美元，主要来自交易和经纪费，总收入比2022年第一季度增长1%，比2022年第四季度增长119%。INX还表示其业务重点仍是利用美国证券交易委员会监管的证券代币筹集资金，此前已经在一季度完成了与Polygon区块链的集成，目前可以支持基于Polygon、以太坊和Avalanche区块链的代币。[2023/5/17 15:08:44]

Gitcoin上Fantom生态激励计划Grants Protocol申请将改为11月中旬开放:金色财经报道，Gitcoin上应用于Fantom生态激励计划的Grants Protocol申请将由原计划的10月底改为11月中旬开放，并持续到年底，以进一步改善Fantom社区的体验。[2022/10/20 16:31:42]

在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC从他的钱包中被取出，存入了黑客的钱包中。

Galaxy Digital将向合格机构买家出售5亿美元的优先票据:金色财经报道，加密货币集团Galaxy Digital周一宣布，同意将3%的优先票据出售给合格的机构买家。这些票据可兑换为新成立的特拉华州控股公司Galaxy Digital Inc.的股份。除非提前交换、赎回或回购，否则这些票据将于2026年12月15日到期。Galaxy Digital打算利用筹集的资金为整个业务的增长计划提供资金。[2021/11/30 12:39:49]

事件还原与分析

该用户使用的是Electrum比特币钱包，上次使用是在2017年。此后Electrum已经发布了安全更新，但该用户一直没有安装。

用户在使用Electrum进行交易时，钱包会向服务器广播一笔交易，如果这笔交易出现了问题，服务器将返回错误信息并以弹窗的形式展现给用户。

3.3.2版本之前的Electrum钱包不会对服务器返回的错误信息进行验证，甚至还会对返回的信息进行html渲染。

值得一提的是，任何人都可以去搭建一个Electrum节点服务器。如果一个用户连接到了攻击者的服务器并发起了一笔交易，服务器可以返回任何设计好的错误信息。比如返回一个让用户去更新Electrum钱包的错误信息，如下图所示。

然而，图中的链接指向了攻击者自己写的恶意软件，一旦用户下载安装该软件并把自己的钱包导入其中，钱包里所有的比特币就会被攻击者转走。

这其实本质上是一种钓鱼攻击，但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的，很多人都会信以为真。

在本次事件中，受害者的钱包连接上了攻击者所控制的服务器，导致其收到了服务器发出的钓鱼信息，进而被攻击者转走了自己的所有比特币。

Electrum钱包存在的该问题早在2018年底就引起了广泛讨论(参考链接4)。

Electrum官方在2019年，钱包版本3.3.4中对该问题进行了修复，后续版本的Electrum钱包不再会将服务器返回的内容直接展示给用户，也不会对其进行html渲染。

此外，由于旧版本的钱包仍然存在这个问题，因此所有的正常的服务器会对3.3版本之前的钱包进行拒绝服务攻击，以强制用户进行更新。

CertiK安全团队建议

用户在使用钱包进行交易的时候，需确保钱包为最新版本，已防旧版本的钱包可能存在可被黑客利用的漏洞。

用户在下载钱包更新的时候要注意验证下载URL是否与官方一致，在下载完成后要对钱包的签名进行验证。

对于钱包开发团队，需要寻找专业团队做好测试工作，以免项目出现漏洞给用户带来损失。

参考链接：

1.https://github.com/spesmilo/electrum/issues/5072

2.https://zhuanlan.zhihu.com/p/53920688

3.https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54

4.https://github.com/spesmilo/electrum/issues/4968

5.http://twitter.com/electrumwallet/status/1106479573917724672

标签：ELECECTRELECTRELEC币ElectraELEA Token CTRO币

狗狗币价格热门资讯