以太坊钱包 Myetherwallet 遭受DNS劫持,价值近15万美元的以太币被盗
时间 : 2018-04-25 编辑 : DNS智能解析专家 来源 : DNS.COM
4月24日晚9点,网络上最受欢迎的用来存储并发送以太以及ERC20代币的网页版钱包MyEtherWallet遭受DNS劫持攻击,目前共216个以太被盗,损失资金约为15.3万美元。大量用户反馈登录MyEtherWallet后出现10秒倒计时,然后钱包内余额就会被全部转走。据MyEtherWallet团队表示,此次攻击并非MyEtherWallet原因,目前,谷歌团队已经解决了这一问题。
(以太坊(英语:Ethereum)是一个开源的有智能合约功能的公共区块链平台。通过其专用加密货币以太币(Ether,又称“以太币”)提供去中心化的虚拟机(称为“以太虚拟机”Ethereum Virtual Machine)来处理点对点合约。)
该公司迅速反应,提醒用户注意这一威胁,并于美国东部时间上午7:29——黑客攻击开始后的15分钟内,MEW发布一篇推文,确认Myetherwallet服务器遭到DNS劫持攻击:多台DNS服务器被劫持,用户被重新定向跳转到一个钓鱼网站。这并非@myetherwallet的原因,我们正在验证被劫持服务器,并将尽快解决这一问题。
问题第一次浮出水面是一位 MEW 用户在 Reddit上发帖,称MEW遭受到了DNS劫持攻击(Think I got scammed/phished/hacked)。
“打开myetherwallet,就看到角落显示myetherwallet连接证书无效。”
“我一登录钱包,就显示10秒的倒计时,然后就显示一条tx将我钱包里的所有资产发送到另一钱包地址'0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29'。我根本不知道发生了什么。”
“尽管我身体的每个细胞都告诉我不要尝试登录,但我还是强行登录了。在我强行登陆后,出现约10秒钟的倒计时,然后我钱包中的ETH就被发送到另一个钱包中!”
在该用户发帖时,总计约 524ETH 收已经被转入到两个黑客地址中:
0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29
0xf203a3B241deCAFD4BdEBBb557070db337d0Ad27
而早在4月23日午夜时分,MyEtherWallet的用户开始注意到一些奇怪的事情。因为需要将钱包和服务进行连接,用户就会看到一个未签名的SSL证书,这是一个在网站的验证上显示不完整的链接。这是不寻常的,但面对这一点网民们经常就不假思索直接点击链接了。
但是任何点击这个证书警告的人都被重新定向到俄罗斯的服务器上,而这个服务器则会开始清空用户的钱包。从钱包活动看,袭击者在袭击被停止前两小时内在Ethereum至少拿走了13000美元,而袭击者的钱包早已在以太坊中存储了超过1700万美元。
目前,MEW在官推上已经就事件处理结果发推声称一切已经回复正常,并认为本次事件并不属于MEW安全问题,而是由于Amazon’s DNS遭到劫持所导致。
黑客们似乎并没有直接袭击到MyEtherWallet本身,相反,他们攻击了互联网的基础设施,拦截了对myetherwallet.com 的DNS请求,使位于俄罗斯的服务器看起来是IP地址的合法所有者。受到影响的大多数用户都是使用谷歌的8.8.8.8 DNS服务。然而,由于谷歌的服务是递归的,因此很可能通过与亚马逊的“路由53”系统(“Route 53”)的伪造通信从而获得不良列表。
在一份声明中,Amazon 的Web Services的代表强调:服务本身的DNS系统从来没有瘫痪过。声明中写道:“AWS和亚马逊的“路由53”都没有被黑客攻击或是瘫痪过。一个上游的互联网服务提供商受到了恶意破坏,然后黑客利用那个ISP将这个路由53的IP地址的子集传递给与这个ISP相关联的其他网络。”
到目前为止,MyEtherWallet是唯一被确认受到攻击的服务器,尽管其他服务器也可能受到重新定向的影响。
BGP袭击长期以来被称为互联网的一个基本弱点,它在不用验证的条件下就接收了路由。DNS攻击也是常见的——在2013年,叙利亚电子军就利用DNS攻击袭击了一系列网站。尽管如此,BGP和DNS漏洞在大事件中发生都是非常罕见的,尤其是在如此高调的盗窃中。研究人员Kevin Beaumont在一篇文章中写道:将两者介乎在一起发起袭击的,这是我见过最大规模的一次,这突显了网络安全的脆弱性。