Electrum电子钱包再遭攻击,损失达75万美元

22.jpg

在2018年年末,全球范围内流行Electrum电子钱包再次成为针对区块链的黑客组织的目标。

在2018年12月21日,有黑客组织攻击了Electrum比特币钱包,偷走了200多比特币,损失超过75万美元。这次攻击中,黑客主要是利用了2018年初electrum所曝出的一个致命性漏洞(https://securityaffairs.co/wordpress/67591/digital-id/electrum-wallet-flaw.html)。

攻击者可以利用该漏洞可利用虚假的Electrum服务器向用户生成一个弹出窗口。窗口内容为欺骗用户安装一个所谓的“安全更新”。

Electrum比特币钱包并不会下载完整的区块链,而是由远程服务器提供信息。

攻击者首先将恶意服务器添加到Electrum钱包的服务器网络中,并在每次用户试图进行比特币交易时将欺骗消息弹出。黑客们还建立了一个Github页面(https://github.com/spesmilo/electrum/issues/4968),要求用户下载安装名为“安全更新”的恶意软件。

33.png

一旦安装完成,恶意软件会提示用户输入双因素验证码,以允许它们接管电子钱包并窃取比特币。

目前,攻击已停止,Github页面也被删除。这次攻击黑客一共使用了33台虚假服务器,但安全专家认为黑客可以在Electrum的开发者彻底解决这个安全漏洞前再次使用类似的攻击技术。

“虽然Electrum的团队还没有制定完整的防御策略,但他们也实施了一些缓解措施,以保护用户的钱包安全。”Hack Read报道。

“他们从富HTML文本中改变了欺骗信息的外观,并且也删除了欺诈信息中的恶意链接。”

网名为sombernight的Electrum开发人员解释说,攻击者在Electrum钱包 发布了3.3.2版本之后又开始攻击。一般的安全更新无法彻底解决此问题,因为完整的修复需要升级整个“联合服务器生态系统”。

“我们之所以现在才公开披露这一[攻击],是因为大约在3.3.2版本前后,攻击者停止了攻击……但是,他们现在又开始了。”

这不是Electrum第一次被黑客攻击,2018年初,黑客利用Bitmessage客户端的0day漏洞(https://securityaffairs.co/wordpress/69100/hacking/bitmessage-zero-day.html)窃取了Electrum钱包密钥。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/79398/hacking/electrum-wallets-hack.html
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐