首发 | Github 用户 1400 枚比特币被盗情况分析

某天，在使用支付宝转账时，弹窗提示转账失败，因为版本太低。

如果弹窗不仅提示交易失败，还附上支付宝更新链接，大部分人可能会点击链接进行更新。

如果这个链接是钓鱼链接，直接获取了你的转账权限，就意味着你账户里的钱也会被无情的转账。

这一次，一位用户遇到了类似的情况。

北京时间8月31日，CertiK天网系统（Skynet）检测到Github用户“1400BitcoinStolen”1400个比特币被盗，代币被转移到多个不同地址。

受害者报告称在电子 Github 问题中丢失了 1,400 个比特币，并发布了他的比特币钱包地址。

在区块链浏览器中（参考链接3)，可以看到8月30日从他的钱包中取出一共1404个BTC（价值1670万美元）存入了黑客的钱包。

事件恢复和分析

该用户正在使用 Electrum 比特币钱包，该钱包最后一次使用是在 2017 年。此后，Electrum 发布了安全更新，但该用户尚未安装。

当用户使用 Electrum 进行交易时，钱包会将交易广播到服务器。如果交易出现问题，服务器会返回错误信息比特币放在交易所里如果被盗，并以弹窗的形式显示给用户。

3.3.版本2之前的Electrum钱包不会验证服务器返回的错误信息，甚至会将返回的信息渲染成html（参考链接4）.

值得一提的是，任何人都可以设置 Electrum 节点服务器。如果用户连接到攻击者的服务器并发起交易，服务器可以根据设计返回任何错误消息。例如，返回一条错误信息，要求用户更新 Electrum 钱包，如下图所示。

但是比特币放在交易所里如果被盗，图片中的链接指向攻击者自己编写的恶意软件。一旦用户下载并安装软件并将他的钱包导入其中，钱包中的所有比特币将被攻击者转移。

这本质上是一种钓鱼攻击，但是由于攻击者发送的钓鱼信息是通过Electrum官方钱包显示的，所以很多人会相信。

在本次事件中，受害者的钱包连接到攻击者控制的服务器，使其收到来自服务器的网络钓鱼消息，然后攻击者转移了他所有的比特币。

Electrum 钱包的这个问题早在 2018 年底就被广泛讨论（参考链接 4).

Electrum 官方在 2019 年的 3.3.4 版本的钱包中修复了这个问题，后续版本的 Electrum 钱包将不再直接向用户显示服务器返回的内容，也不会对其进行处理。html渲染。

另外，由于旧版钱包还有这个问题，所有正常的服务器都会对3.3版本之前的钱包进行拒绝服务（DoS）攻击，强制用户更新（参考链接< @k12@ >。

CertiK 安全团队建议

参考链接：

1.

2.

3.

4.

5.