信息化觀察網(wǎng)

黑客（或黑客組織）使用對(duì)Electrum比特幣錢包基礎(chǔ)設(shè)施的巧妙攻擊，掠奪了超過200枚比特幣（約相當(dāng)于當(dāng)日交易所750,000美元）。這次攻擊導(dǎo)致合法的Electrum錢包應(yīng)用程序在用戶的計(jì)算機(jī)上顯示一條消息，敦促他們從未經(jīng)授權(quán)的GitHub存儲(chǔ)庫(kù)下載惡意錢包更新。

攻擊于12月21日開始，并且在GitHub管理員關(guān)閉了黑客的GitHub存儲(chǔ)庫(kù)之后，似乎暫時(shí)停止了攻擊。Electrum錢包的管理員預(yù)計(jì)很快就會(huì)有新的攻擊，可能會(huì)與一個(gè)新的GitHub資源或到另一個(gè)下載位置的鏈接相關(guān)。這是因?yàn)殡m然Electrum錢包管理員采取措施降低了攻擊的影響，但攻擊核心的漏洞仍然沒有修復(fù)。具體攻擊過程如下：

攻擊者向Electrum錢包網(wǎng)絡(luò)添加了數(shù)十臺(tái)惡意服務(wù)器。

合法Electrum錢包的用戶啟動(dòng)比特幣交易。

如果交易到達(dá)其中一個(gè)惡意服務(wù)器，這些服務(wù)器將回復(fù)一條錯(cuò)誤消息，該消息促使用戶從惡意網(wǎng)站（GitHub repo）下載錢包應(yīng)用更新。

用戶單擊該鏈接并下載惡意更新。

當(dāng)用戶打開惡意Electrum錢包時(shí)，應(yīng)用程序會(huì)要求用戶提供雙因素身份驗(yàn)證（2FA）代碼。這是一個(gè)危險(xiǎn)信號(hào)，因?yàn)檫@些2FA代碼僅在發(fā)送資金之前請(qǐng)求，而不是在錢包啟動(dòng)時(shí)請(qǐng)求。

惡意的Electrum錢包使用2FA代碼竊取用戶的資金并將其轉(zhuǎn)移到攻擊者的比特幣地址。

這里的問題是允許Electrum服務(wù)器在用戶錢包內(nèi)觸發(fā)帶有自定義文本的彈出窗口。

最初的攻擊比后來(lái)的更有效，似乎欺騙了更多的用戶。這是因?yàn)镋lectrum錢包將這些服務(wù)器消息呈現(xiàn)為格式豐富的文本，使彈出窗口看起來(lái)更真實(shí)，并為用戶提供可用且可點(diǎn)擊的鏈接。

在收到攻擊消息后，Electrum團(tuán)隊(duì)通過更新Electrum錢包應(yīng)用程序做出回應(yīng)，因此這些消息不再呈現(xiàn)為豐富的HTML文本。

“直到現(xiàn)在我們才公開披露這種攻擊，在3.3.2發(fā)布時(shí)攻擊就停止了，”Electrum錢包團(tuán)隊(duì)開發(fā)人員SomberNight表示。“但他們現(xiàn)在又開始了這種襲擊。”

并非所有收到提示的用戶都發(fā)現(xiàn)神秘彈出窗口的文本錯(cuò)誤。有些用戶手動(dòng)將彈出窗口中顯示的文本鏈接復(fù)制粘貼到其瀏覽器中，然后下載并安裝受污染的Electrum錢包更新。GitHub管理員刪除了包含惡意錢包版本的存儲(chǔ)庫(kù)時(shí)，攻擊停止了。

但如前所述，預(yù)計(jì)新攻擊將開始，可能還有新的下載鏈接。但這里的問題仍然是攻擊者的惡意服務(wù)器。