GitHub用户盗取1400枚比特币分析

有一天，当你在支付宝操作转账时，弹出窗口提示你因为低版本而失败。

如果弹出的窗口不仅提示您交易失败，还附加了支付宝更新链接，大多数人可能会点击该链接进行更新。

如果这个链接是钓鱼链接，直接获得你的转账权限，你账户里的钱也会被无情地转移。

这一次，用户遇到了类似的情况。

北京时间8月31日消息，certik Skynet system（天网）检测到，GitHub用户被盗的“1400比特币被盗”的1400枚代币已开始被送到不同的地址。

在electrum的GitHub发行版中，受害者称他丢失了1400个比特币，并公布了自己的比特币钱包地址。

在区块链浏览器（见链接3）中，8月30日，共有1404个BTC（价值1670万美元）从他的钱包中取出并储存在黑客的钱包中。

事件恢复与分析

用户使用的是electrum 比特币钱包，上次使用是在2017年。从那以后，electrum发布了一个安全更新，但是用户没有安装它。

当事务发生时，该事务将以错误消息的形式显示给用户服务器。

electrum wallet 3.3.2之前的版本不验证服务器返回的错误信息，甚至对返回的信息进行HTML呈现（参见链接4）。

值得一提的是，任何人都可以构建electrum节点服务器。如果用户连接到攻击者的服务器并启动事务，服务器可以返回任何设计的错误消息。例如，返回一条错误消息，让用户更新electrum钱包，如下图所示。

然而，图中的链接指向攻击者自己编写的恶意软件。一旦用户下载并安装软件并将钱包导入其中，钱包中的所有比特币都将被攻击者拒之门外。

这本质上是一种网络钓鱼攻击，但由于攻击者发送的钓鱼信息是通过electrum的官方钱包显示的，因此很多人会相信。

在本次事件中，受害者的钱包被连接到攻击者控制的服务器上，导致受害者接收到服务器发送的钓鱼消息，然后攻击者拿走了他所有的比特币。

electrum钱包的问题自2018年底以来一直被广泛讨论（见链接4）。

Electrum在2019年正式修复了wallet 3.3.4版本中的这一问题，后续版本的Electrum wallet将不再直接显示服务器返回给用户的内容，也不会执行HTML呈现。

此外，由于旧版本的钱包中仍然存在此问题，所有正常服务器都会对3.3版之前的钱包发起拒绝服务（DOS）攻击，迫使用户进行更新（见链接5）。

Certik安全团队建议

用户在使用钱包进行交易时，应确保钱包是**版本，可被黑客利用。

用户在下载钱包更新时，应注意验证下载网址是否与官方一致，下载完成后验证钱包签名。

对于钱包开发团队来说，我们需要找一个专业的团队来做好测试工作，这样才能避免项目漏洞，给用户带来损失。

参考链接：

一https://github.com/speilo/electrum/issues/5072

二https://zhualan.zhihu.com/p/53920688

三https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54

四https://github.com/speilo/electrum/issues/4968

五http://twitter.com/electrumwallet/status/1106479573917724672