两小时卷走13000美金!MyEtherWallet DNS劫持事件深度分析

币圈无宁日。无论加密货币或是区块链技术有多么广阔的未来,也不该成为目前混乱现状的理由。圈子里的玩家成分复杂,有真正懂行的,也有纯粹凑热闹的,目前看来后者占据更多。稍有风吹草动便是头条新闻,昨天Myetherwallet的遭遇又为币圈故事添上了教育性的一笔。

事件回顾

Myetherwallet,是目前最受欢迎的以太坊钱包。4月24日发生的一连串事故,让很多用户在一脸懵逼中钱包被清空,两个小时的时间里,黑客卷走至少13000美元。一度怀疑是平台遭黑客入侵,毕竟此前发生加密货币交易平台被黑客攻击的案例并不少见。

一位用户在Reddit上发布一条帖子称自己可能被骗了——Think I got scammed/phished/hacked,该用户登录Myetherwallet的时候,仅仅10秒钟的时间,钱包里的ETH就被发送到另一个钱包中。

根据其描述,在进入Myetherwallet网站的时候,Chrome提示“网站不安全”,“尽管身体的每个部分都告诉我不要尝试登录”,但还是没控制住自己手。

目前已经有不少用户遭遇了这种情况,但也有一些人看到浏览器提醒SSL证书未签名,便没有继续登录,避免了遭遇损失。

攻击过程

MyEtherWallet在随后的公告中证实了这次攻击,建议用户使用MyEtherWallet的本地(脱机)副本。截至笔者发稿时,MyEtherWallet已经恢复正常,并给出了事故的发生原因,并非MyEtherWallet的安全问题,而是由于Amazon的DNS遭到劫持所导致。

根据这次事故发生情况来看,攻击持续了大约两个小时,攻击者利用多个账户转走了受害者的ETH,总价值超过13000美元。而已知的账户地址能够看到详细的交易记录,基本已经全部被提出。

尽管事先大多数人怀疑是MyEtherWallet遭受黑客攻击导致,这次黑客并非直接攻击MyEtherWallet网站,而是从互联网基础设施下手。黑客通过中间人攻击,利用墨西哥Equinix的服务器重定向DNS流量,google DNS服务器8.8.8.8返回www.myetherwallet.com错误的IP地址是和无效的SSL证书,此IP为俄罗斯的服务器,这个服务器提供了假的证书,并且能窃取用户的用于货币交易用的私钥。

向MyEtherWallet用户显示的错误证书

而大多数用户都是使用的Google DNS服务器,当用户访问MyEtherWallet.com时,出现 HTTPS 证书错误提示,但有些用户安全意识较低,进行了强制访问,攻击者此时可以通过页面劫持,注入任意恶意js文件来获取用户登录在线钱包的密码、私钥明文等。

攻击者窃取用户私钥后,第一时间就将所有余额转到其钱包地址中。10秒钟的倒计时,足以清空受害者的钱包。

目前已知的攻击者钱包地址为:

https://etherscan.io/address/0x1d50588c0aa11959a5c28831ce3dc5f1d3120d29 https://etherscan.io/address/0xf203a3b241decafd4bdebbb557070db337d0ad27 https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94b620a583a39

黑客在这次攻击中利用的BGP攻击技术,FreeBuf很早之前有过对这方面的介绍。这种技术由一个网络服务提供商或是其他网络基础设施提供者进行操作。通常,取消这样的劫持需要侵入由ISP或其他因特网基础设施提供商操作的BGP服务器。

一直以来,BGP劫持一直被称为互联网的一个根本弱点,它被设计为无需验证就接受路由。但这种攻击方式非常罕见,尤其是在如此大规模的事件中。此次的攻击手法如此之强大,范围大到了主要的互联网服务提供商,和强大的DNS流量处理能力。极有可能MyEtherWallet.com不是唯一的目标。但目前为止,MyEtherWallet是唯一确认受到此类攻击的服务器。

安全警示

针对事件,FreeBuf也总结出一些建议提醒用户提升防范意识:

提高安全意识,不要越过HTTPS证书强制访问

配置HSTS

HSTS 全称 HTTP Strict Transport Security,是浏览器支持的一个 Web 安全策略,如果开启了这个配置,浏览器发现 HTTPS 证书错误后就会强制不让用户继续访问。

这图可以看到MyEtherWallet.com官方不从自身找原因,疯狂甩锅。

可以使用下面网站进行自行检测:

https://www.ssllabs.com/ssltest/ https://hstspreload.org/

更换DNS服务器

将google DNS服务器8.8.8.8更换为Cloudflare DNS 服务器1.1.1.1。

谨慎评论区钓鱼

出现大事件时,评论区经常出现钓鱼链接,已经不是一次两次了。大家一定要谨慎不要因为心慌就去点击,转账。

交易注意事项

可以参考官方给出的科普文:How Not to get Scammed & Phished

参考

https://www.theverge.com/2018/4/24/17275982/myetherwallet-hack-bgp-dns-hijacking-stolen-ethereum https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/ https://mailman.nanog.org/pipermail/nanog/2018-April/095105.html https://twitter.com/dentcoin/status/988759919208943616 https://twitter.com/myetherwallet/status/988830654316953600 https://doublepulsar.com/hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for-two-hours-unnoticed-3a6f0dda6a6f https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/ https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security https://myetherwallet.github.io/knowledge-base/security/myetherwallet-protips-how-not-to-get-scammed-during-ico.html

*本文作者:Andy,技术分析来自斗象科技TCC,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-04-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏尚国

数字货币钱包安全白皮书

区块链技术的迅速发展,使得数字货币渐渐走入的大众的视线,在2017年底,这股热潮达到顶峰,直接搅动着金融市场与科技市场,大量的数字货币交易流水催生了数字钱包开发...

1393
来自专栏区块链

啥?Metasploit里面也有菜刀

利用msf破解一句话木马 0x01 前言 本文为智者楚轩原创文章 事情要从下午说起,同学突然叫我说,xxx,我扫到一个老师在电脑上自己搭建的服务器,上面有他c盘...

4047
来自专栏黑白安全

黑客攻下隔壁女神路由器后:竟做了这些事

无线路由器被蹭网后,有被黑的风险吗?其实这个问题可以理解为:蹭网之后,能做些什么?这个问题也可以理解为:上了不安全的wifi后,还有没有任何隐私?

2243
来自专栏大数据文摘

深度解析12306数据泄露之谜

3042
来自专栏双十二技术哥

Android性能优化(九)之被忽视的电量

移动互联网的大潮到来之后,我们都变身好男人:“用智能手机的男人都是好男人,因为晚上必须回家充电。”一句笑言,但也可以看得出来目前使用智能设备电量方面的问题。

2583
来自专栏申龙斌的程序人生

用API获取Bigone历史成交记录

Bigone中查看历史交易的功能并不友好,只能按时间范围查询,如果一笔订单分为许多次成交,界面里就列出多少条,而且还混杂着其它币种,想查清楚自己在哪个价格卖出多...

1463
来自专栏农夫安全

啥?Metasploit里面也有菜刀~~~

利用msf破解一句话木马 0x01 前言 本文为智者楚轩原创文章 事情要从下午说起,同学突然叫我说,xxx,我扫到一个老师在电脑上自己搭建的服务器,上面有他...

5199
来自专栏FreeBuf

数字货币钱包安全白皮书

近期,我们对应用市场上流通的热钱包以及冷钱包进行了相关安全审核评估,发现了很多安全问题,360信息安全部依靠通过对各类攻击威胁的深入分析及多年的安全大数据积累,...

1153
来自专栏工科狗和生物喵

总算搞定了域名(好吧,我一开始忘了)

正文之前 我是从大二下学期开始入程序员这个坑的。那个时候恰逢遇到了我计算机方面的启蒙学长,然后他带着我走了一段很长的路,其中就包括网站建设这个方面。我前端后端都...

72813
来自专栏安恒信息

携程曝重大安全漏洞 客户信用卡信息或遭泄露

3月22日,乌云平台连续披露了两个携程网安全漏洞,漏洞发现者称由于携程开启了用户支付服务借口的调试功能,导致携程安全支付日志可被任意还可读取,日志...

2958

扫码关注云+社区

领取腾讯云代金券