两小时卷走13000美金!MyEtherWallet DNS劫持事件深度分析

币圈无宁日。无论加密货币或是区块链技术有多么广阔的未来,也不该成为目前混乱现状的理由。圈子里的玩家成分复杂,有真正懂行的,也有纯粹凑热闹的,目前看来后者占据更多。稍有风吹草动便是头条新闻,昨天Myetherwallet的遭遇又为币圈故事添上了教育性的一笔。

事件回顾

Myetherwallet,是目前最受欢迎的以太坊钱包。4月24日发生的一连串事故,让很多用户在一脸懵逼中钱包被清空,两个小时的时间里,黑客卷走至少13000美元。一度怀疑是平台遭黑客入侵,毕竟此前发生加密货币交易平台被黑客攻击的案例并不少见。

一位用户在Reddit上发布一条帖子称自己可能被骗了——Think I got scammed/phished/hacked,该用户登录Myetherwallet的时候,仅仅10秒钟的时间,钱包里的ETH就被发送到另一个钱包中。

根据其描述,在进入Myetherwallet网站的时候,Chrome提示“网站不安全”,“尽管身体的每个部分都告诉我不要尝试登录”,但还是没控制住自己手。

目前已经有不少用户遭遇了这种情况,但也有一些人看到浏览器提醒SSL证书未签名,便没有继续登录,避免了遭遇损失。

攻击过程

MyEtherWallet在随后的公告中证实了这次攻击,建议用户使用MyEtherWallet的本地(脱机)副本。截至笔者发稿时,MyEtherWallet已经恢复正常,并给出了事故的发生原因,并非MyEtherWallet的安全问题,而是由于Amazon的DNS遭到劫持所导致。

根据这次事故发生情况来看,攻击持续了大约两个小时,攻击者利用多个账户转走了受害者的ETH,总价值超过13000美元。而已知的账户地址能够看到详细的交易记录,基本已经全部被提出。

向MyEtherWallet用户显示的错误证书

而大多数用户都是使用的Google DNS服务器,当用户访问MyEtherWallet.com时,出现 HTTPS 证书错误提示,但有些用户安全意识较低,进行了强制访问,攻击者此时可以通过页面劫持,注入任意恶意js文件来获取用户登录在线钱包的密码、私钥明文等。

攻击者窃取用户私钥后,第一时间就将所有余额转到其钱包地址中。10秒钟的倒计时,足以清空受害者的钱包。

目前已知的攻击者钱包地址为:

https://etherscan.io/address/0x1d50588c0aa11959a5c28831ce3dc5f1d3120d29

https://etherscan.io/address/0xf203a3b241decafd4bdebbb557070db337d0ad27

黑客在这次攻击中利用的BGP攻击技术,FreeBuf很早之前有过对这方面的介绍。这种技术由一个网络服务提供商或是其他网络基础设施提供者进行操作。通常,取消这样的劫持需要侵入由ISP或其他因特网基础设施提供商操作的BGP服务器。

一直以来,BGP劫持一直被称为互联网的一个根本弱点,它被设计为无需验证就接受路由。但这种攻击方式非常罕见,尤其是在如此大规模的事件中。此次的攻击手法如此之强大,范围大到了主要的互联网服务提供商,和强大的DNS流量处理能力。极有可能MyEtherWallet.com不是唯一的目标。但目前为止,MyEtherWallet是唯一确认受到此类攻击的服务器。

安全警示

针对事件,FreeBuf也总结出一些建议提醒用户提升防范意识:

提高安全意识,不要越过HTTPS证书强制访问

配置HSTS

HSTS 全称 HTTP Strict Transport Security,是浏览器支持的一个 Web 安全策略,如果开启了这个配置,浏览器发现 HTTPS 证书错误后就会强制不让用户继续访问。

这图可以看到MyEtherWallet.com官方不从自身找原因,疯狂甩锅。

可以使用下面网站进行自行检测:

https://www.ssllabs.com/ssltest/

https://hstspreload.org/

更换DNS服务器

将google DNS服务器8.8.8.8更换为Cloudflare DNS 服务器1.1.1.1。

谨慎评论区钓鱼

出现大事件时,评论区经常出现钓鱼链接,已经不是一次两次了。大家一定要谨慎不要因为心慌就去点击,转账。

交易注意事项

可以参考官方给出的科普文:How Not to get Scammed & Phished

参考

https://www.theverge.com/2018/4/24/17275982/myetherwallet-hack-bgp-dns-hijacking-stolen-ethereum

https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/

https://mailman.nanog.org/pipermail/nanog/2018-April/095105.html

https://twitter.com/dentcoin/status/988759919208943616

https://twitter.com/myetherwallet/status/988830654316953600

https://doublepulsar.com/hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for-two-hours-unnoticed-3a6f0dda6a6f

https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

https://myetherwallet.github.io/knowledge-base/security/myetherwallet-protips-how-not-to-get-scammed-during-ico.html

*本文作者:Andy,技术分析来自斗象科技TCC,转载请注明来自FreeBuf.COM

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180425B1DDA800?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券