有天,你在支付宝操作转账时,弹窗提示你因版本过低而导致转账失败。
如果弹窗内不仅仅提示你交易失败,还附上支付宝更新链接,大部分人可能都会顺手点击链接进行更新。
如果这个链接是个钓鱼链接,直接获取了你的转账权限,那么代表你账户内的钱也会被无情转移。
这次,就有一个用户遭遇了类似的情况。
北京时间8月31日,CertiK天网系统(Skynet)检测到,Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币,已开始被输送到多个不同的地址当中。
?GitHub计划裁员10%,同时转向远程办公:2月10日消息,GitHub今天宣布,将会在本财年结束前裁员10%。目前 GitHub约有3000名员工。除了裁员之外,GitHub还将继续冻结招聘工作,并进行一些内部调整以保护其业务的健康。另外, GitHub还计划在房租到期后关闭其所有办公室,转向远程办公。?(鞭牛士)[2023/2/10 11:58:28]
受害者在electrum的Githubissue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址。
Web3初创公司Naetion从GEM Digital获得1.5亿美元投资:5月10日消息,Naetion是一家总部位于丹麦的web3初创公司,致力于打造世界上最大的链上职业网络,今天宣布已从数字资产投资公司GEM Digital Limited获得总额为1.5亿美元的投资。(Globe News Wire)[2022/5/10 3:04:01]
在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC从他的钱包中被取出,存入了黑客的钱包中。
富达已通过基金买入Marathon Digital 7.4%的股份:富达已通过四个指数基金购买了比特币矿业公司Marathon Digital 7.4%的股份,包括富达扩展市场指数基金(FSMAX)、富达纳斯达克综合指数基金(FNCFX)、富达全市场指数基金(FSKAX)和富达系列全市场指数基金(FCFMX)。据悉,这些基金的总市值为1700亿美元。尽管每个基金持有的Marathon股份的百分比很小,但其中许多指数基金很受退休账户的欢迎。(福布斯)[2021/8/5 1:35:27]
事件还原与分析
该用户使用的是Electrum比特币钱包,上次使用是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装。
Galaxy Digital CEO:将有更多机构入场 ETH上涨需要更长时间:Galaxy Digital首席执行官Mike Novogratz近期接受CNBC采访时谈及对BTC和ETH的价格预测。Novogratz表示,在亿万富翁Paul Tudor Jones称BTC为其投资组合中“最快的马”之后,他预计会有更多机构投资者购买BTC。此外,Novogratz认为以太坊的增长将需要更长的时间,它可能需要一两年的时间,直到真正吸引到用户。(FXStreet)[2020/5/14]
用户在使用Electrum进行交易时,钱包会向服务器广播一笔交易,如果这笔交易出现了问题,服务器将返回错误信息并以弹窗的形式展现给用户。
3.3.2版本之前的Electrum钱包不会对服务器返回的错误信息进行验证,甚至还会对返回的信息进行html渲染。
值得一提的是,任何人都可以去搭建一个Electrum节点服务器。如果一个用户连接到了攻击者的服务器并发起了一笔交易,服务器可以返回任何设计好的错误信息。比如返回一个让用户去更新Electrum钱包的错误信息,如下图所示。
然而,图中的链接指向了攻击者自己写的恶意软件,一旦用户下载安装该软件并把自己的钱包导入其中,钱包里所有的比特币就会被攻击者转走。
这其实本质上是一种钓鱼攻击,但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的,很多人都会信以为真。
在本次事件中,受害者的钱包连接上了攻击者所控制的服务器,导致其收到了服务器发出的钓鱼信息,进而被攻击者转走了自己的所有比特币。
Electrum钱包存在的该问题早在2018年底就引起了广泛讨论(参考链接4)。
Electrum官方在2019年,钱包版本3.3.4中对该问题进行了修复,后续版本的Electrum钱包不再会将服务器返回的内容直接展示给用户,也不会对其进行html渲染。
此外,由于旧版本的钱包仍然存在这个问题,因此所有的正常的服务器会对3.3版本之前的钱包进行拒绝服务攻击,以强制用户进行更新。
CertiK安全团队建议
用户在使用钱包进行交易的时候,需确保钱包为最新版本,已防旧版本的钱包可能存在可被黑客利用的漏洞。
用户在下载钱包更新的时候要注意验证下载URL是否与官方一致,在下载完成后要对钱包的签名进行验证。
对于钱包开发团队,需要寻找专业团队做好测试工作,以免项目出现漏洞给用户带来损失。
参考链接:
1.https://github.com/spesmilo/electrum/issues/5072
2.https://zhuanlan.zhihu.com/p/53920688
3.https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54
4.https://github.com/spesmilo/electrum/issues/4968
5.http://twitter.com/electrumwallet/status/1106479573917724672
标签:ELEELECTRUECTRElectrify.AsiaELEC币Cryptrustelectronicmedia
区块链技术与比特币等加密货币相伴而生,现实生活中,很多人听说甚至购买过比特币,但大部分人对币圈的印象不佳,提到发币就联想到、“割韭菜”.
9月1日消息,加密货币情报公司CipherTrace今日宣布,它已开发了一个追踪门罗币交易的工具集,而这是在美国国土安全部的要求下完成的.
本文是少数分析联动效应的文章,旨在找到目前市场的中短期盈利空间。上周五下午开始,YFI和YFII的价格开始酝酿上涨,而后大幅度拉升.
9月6日,《2020中国区块链城市创新发展指数》报告在2020年中国国际服务贸易交易会的“全球金融科技峰会区块链专场”发布.
康奈尔大学贸易政策教授EswarPrasad认为,虽然中国的数字人民币将增强人民币作为国际支付货币的作用,但是其不会削弱美元作为主要货币的地位.
近日,中国香港证监会原则性批准了BC科技集团旗下的OSL公司虚拟资产交易平台牌照的申请,如果香港证监会完成该牌照的最后审批,意味着亚洲第一个持牌虚拟资产交易平台将在中国香港诞生.