专栏首页FreeBuf两小时卷走13000美金!MyEtherWallet DNS劫持事件深度分析

两小时卷走13000美金!MyEtherWallet DNS劫持事件深度分析

币圈无宁日。无论加密货币或是区块链技术有多么广阔的未来,也不该成为目前混乱现状的理由。圈子里的玩家成分复杂,有真正懂行的,也有纯粹凑热闹的,目前看来后者占据更多。稍有风吹草动便是头条新闻,昨天Myetherwallet的遭遇又为币圈故事添上了教育性的一笔。

事件回顾

Myetherwallet,是目前最受欢迎的以太坊钱包。4月24日发生的一连串事故,让很多用户在一脸懵逼中钱包被清空,两个小时的时间里,黑客卷走至少13000美元。一度怀疑是平台遭黑客入侵,毕竟此前发生加密货币交易平台被黑客攻击的案例并不少见。

一位用户在Reddit上发布一条帖子称自己可能被骗了——Think I got scammed/phished/hacked,该用户登录Myetherwallet的时候,仅仅10秒钟的时间,钱包里的ETH就被发送到另一个钱包中。

根据其描述,在进入Myetherwallet网站的时候,Chrome提示“网站不安全”,“尽管身体的每个部分都告诉我不要尝试登录”,但还是没控制住自己手。

目前已经有不少用户遭遇了这种情况,但也有一些人看到浏览器提醒SSL证书未签名,便没有继续登录,避免了遭遇损失。

攻击过程

MyEtherWallet在随后的公告中证实了这次攻击,建议用户使用MyEtherWallet的本地(脱机)副本。截至笔者发稿时,MyEtherWallet已经恢复正常,并给出了事故的发生原因,并非MyEtherWallet的安全问题,而是由于Amazon的DNS遭到劫持所导致。

根据这次事故发生情况来看,攻击持续了大约两个小时,攻击者利用多个账户转走了受害者的ETH,总价值超过13000美元。而已知的账户地址能够看到详细的交易记录,基本已经全部被提出。

尽管事先大多数人怀疑是MyEtherWallet遭受黑客攻击导致,这次黑客并非直接攻击MyEtherWallet网站,而是从互联网基础设施下手。黑客通过中间人攻击,利用墨西哥Equinix的服务器重定向DNS流量,google DNS服务器8.8.8.8返回www.myetherwallet.com错误的IP地址是和无效的SSL证书,此IP为俄罗斯的服务器,这个服务器提供了假的证书,并且能窃取用户的用于货币交易用的私钥。

向MyEtherWallet用户显示的错误证书

而大多数用户都是使用的Google DNS服务器,当用户访问MyEtherWallet.com时,出现 HTTPS 证书错误提示,但有些用户安全意识较低,进行了强制访问,攻击者此时可以通过页面劫持,注入任意恶意js文件来获取用户登录在线钱包的密码、私钥明文等。

攻击者窃取用户私钥后,第一时间就将所有余额转到其钱包地址中。10秒钟的倒计时,足以清空受害者的钱包。

目前已知的攻击者钱包地址为:

https://etherscan.io/address/0x1d50588c0aa11959a5c28831ce3dc5f1d3120d29 https://etherscan.io/address/0xf203a3b241decafd4bdebbb557070db337d0ad27 https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94b620a583a39

黑客在这次攻击中利用的BGP攻击技术,FreeBuf很早之前有过对这方面的介绍。这种技术由一个网络服务提供商或是其他网络基础设施提供者进行操作。通常,取消这样的劫持需要侵入由ISP或其他因特网基础设施提供商操作的BGP服务器。

一直以来,BGP劫持一直被称为互联网的一个根本弱点,它被设计为无需验证就接受路由。但这种攻击方式非常罕见,尤其是在如此大规模的事件中。此次的攻击手法如此之强大,范围大到了主要的互联网服务提供商,和强大的DNS流量处理能力。极有可能MyEtherWallet.com不是唯一的目标。但目前为止,MyEtherWallet是唯一确认受到此类攻击的服务器。

安全警示

针对事件,FreeBuf也总结出一些建议提醒用户提升防范意识:

提高安全意识,不要越过HTTPS证书强制访问

配置HSTS

HSTS 全称 HTTP Strict Transport Security,是浏览器支持的一个 Web 安全策略,如果开启了这个配置,浏览器发现 HTTPS 证书错误后就会强制不让用户继续访问。

这图可以看到MyEtherWallet.com官方不从自身找原因,疯狂甩锅。

可以使用下面网站进行自行检测:

https://www.ssllabs.com/ssltest/ https://hstspreload.org/

更换DNS服务器

将google DNS服务器8.8.8.8更换为Cloudflare DNS 服务器1.1.1.1。

谨慎评论区钓鱼

出现大事件时,评论区经常出现钓鱼链接,已经不是一次两次了。大家一定要谨慎不要因为心慌就去点击,转账。

交易注意事项

可以参考官方给出的科普文:How Not to get Scammed & Phished

参考

https://www.theverge.com/2018/4/24/17275982/myetherwallet-hack-bgp-dns-hijacking-stolen-ethereum https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/ https://mailman.nanog.org/pipermail/nanog/2018-April/095105.html https://twitter.com/dentcoin/status/988759919208943616 https://twitter.com/myetherwallet/status/988830654316953600 https://doublepulsar.com/hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for-two-hours-unnoticed-3a6f0dda6a6f https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/ https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security https://myetherwallet.github.io/knowledge-base/security/myetherwallet-protips-how-not-to-get-scammed-during-ico.html

*本文作者:Andy,技术分析来自斗象科技TCC,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Andy

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-04-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 技术分享 | 劫持DNS通过流量植入木马实验

    很多时候对目标进行渗透时一般会从web、网络设备、针对性钓鱼这三个方向入手。假设我们控制了目标网络中的一台网络设备,如路由器,内网用户流量会从这个地方经过我们怎...

    FB客服
  • HomePwn:一款专用于物联网设备渗透测试的“瑞士军刀”

    HomePwn是一款功能强大的物联网渗透测试框架,它可谓是该领域的一把“瑞士军刀”。HomePwn可以提供设备安全审计和渗透测试功能,企业员工可以使用HomeP...

    FB客服
  • WHID Injector:将HID攻击带入新境界

    HID Attack是最近几年流行的一类攻击方式。HID是Human Interface Device的缩写,意思是人机接口设备。它是对鼠标、键盘、游戏手柄这一...

    FB客服
  • D3常用API说明,含代码示例

    这两个选择元素的API方法的参数是选择器,即指定应当选择文档中的哪些元素。这个选择器参数可以是CSS选择器,也可以是已经被DOM API选择的元素(如docum...

    前端_AWhile
  • 【TensorFlow超级指南】你能想到的TF教程和资源都在这里了

    【新智元导读】众所周知,TensorFlow已然成为机器学习的热门工具。不论是学习还是从事与机器学习相关的工作,能够灵活使用TensorFlow可以大幅提高作业...

    新智元
  • TensorFlow超级指南 | 你能想到的TF教程和资源都在这里

    本文涵盖与TensorFlow相关的教程、书籍、工具、求职等的大量信息。尽数资源,应有尽有。

    数据派THU
  • PyTorch高级实战教程: 基于BI-LSTM CRF实现命名实体识别和中文分词

    前言:实测 PyTorch 代码非常简洁易懂,只需要将中文分词的数据集预处理成作者提到的格式,即可很快的就迁移了这个代码到中文分词中,相关的代码后续将会分享。

    磐创AI
  • 【资源】吴恩达 AI 完整课程资源超级大汇总!

    吴恩达(Andrew Ng),毫无疑问,是全球人工智能(AI)领域的大 IP!随着近些年来 AI 越来越火的大趋势下,吴恩达一直致力于普及、宣传、推广 AI 教...

    yuquanle
  • 这几年chromium都更新了什么

    信息来源汇总: https://www.chromestatus.com/features/5630760492990464 https://develop...

    龙泉寺扫地僧
  • 读取HDF或者NetCDF格式的栅格数据

    HDF(Hierarchical Data Format)由NCSA(National Center for Supercomputing Applicatio...

    卡尔曼和玻尔兹曼谁曼

扫码关注云+社区

领取腾讯云代金券