ECT:首發 | Github用戶1400枚比特幣被盜事件分析

有天，你在支付寶操作轉賬時，彈窗提示你因版本過低而導致轉賬失敗。

如果彈窗內不僅僅提示你交易失敗，還附上支付寶更新鏈接，大部分人可能都會順手點擊鏈接進行更新。

如果這個鏈接是個釣魚鏈接，直接獲取了你的轉賬權限，那么代表你賬戶內的錢也會被無情轉移。

這次，就有一個用戶遭遇了類似的情況。

北京時間8月31日，CertiK天網系統(Skynet)檢測到，Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣，已開始被輸送到多個不同的地址當中。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道，2020年2月28日，百度（股票代碼BAIDU）公布財報，其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述，依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上，百度與上海浦東發展銀行達成合作，共建區塊鏈聯盟，在百度區塊鏈服務（BaaS）平臺上實現跨行信息驗證。[2020/2/28]

受害者在electrum的Githubissue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址.

動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日，可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。

據介紹，可信教育數字身份融合采用國產密碼、區塊鏈等核心技術，創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份，實現一體化密鑰管理，構建“可信教育身份鏈”。（中國新聞網）[2019/12/25]

在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC從他的錢包中被取出，存入了黑客的錢包中。

事件還原與分析

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》，經金色財經查證，游戲中玩家達到22級將會接觸到專屬貓的玩法，而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外，游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售，也無法進入市場與其他玩家配對；但是你可以使用這些貓與你的QQ/微信好友進行配對，產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后，這些貓就可以進入市場，通過配對賺取點券，或者出售賺取點券。專屬貓是否上鏈，并不影響它的增益效果。但只有上鏈后，它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法，基于騰訊區塊鏈技術，游戲中的虛擬數字資產得到有效保護。此外，基于騰訊區塊鏈技術，貓也可以自由繁殖，并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

該用戶使用的是Electrum比特幣錢包，上次使用是在2017年。此后Electrum已經發布了安全更新，但該用戶一直沒有安裝。

IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道：今日，EOS Go在 steemit上公布新增的兩條復選條件為：

1. 保證安全的計劃：候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃，“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會；

2. 立場：描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場（候選節點在steemit發布）。主要闡述以下兩個問題：

該組織是否會出于任何原因向EOS令牌選民提供支付，包括BP選舉和社區建議？

該組織是否有書面的無票付款政策？如果是這樣，請提供一個鏈接。[2018/4/27]

用戶在使用Electrum進行交易時，錢包會向服務器廣播一筆交易，如果這筆交易出現了問題，服務器將返回錯誤信息并以彈窗的形式展現給用戶。

3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證，甚至還會對返回的信息進行html渲染。

值得一提的是，任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易，服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息，如下圖所示。

然而，圖中的鏈接指向了攻擊者自己寫的惡意軟件，一旦用戶下載安裝該軟件并把自己的錢包導入其中，錢包里所有的比特幣就會被攻擊者轉走。

這其實本質上是一種釣魚攻擊，但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的，很多人都會信以為真。

在本次事件中，受害者的錢包連接上了攻擊者所控制的服務器，導致其收到了服務器發出的釣魚信息，進而被攻擊者轉走了自己的所有比特幣。

Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。

Electrum官方在2019年，錢包版本3.3.4中對該問題進行了修復，后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶，也不會對其進行html渲染。

此外，由于舊版本的錢包仍然存在這個問題，因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務攻擊，以強制用戶進行更新。

CertiK安全團隊建議

用戶在使用錢包進行交易的時候，需確保錢包為最新版本，已防舊版本的錢包可能存在可被黑客利用的漏洞。

用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致，在下載完成后要對錢包的簽名進行驗證。

對于錢包開發團隊，需要尋找專業團隊做好測試工作，以免項目出現漏洞給用戶帶來損失。

參考鏈接：

1.https://github.com/spesmilo/electrum/issues/5072

2.https://zhuanlan.zhihu.com/p/53920688

3.https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54

4.https://github.com/spesmilo/electrum/issues/4968

5.http://twitter.com/electrumwallet/status/110647957391772467

Tags：ELEECTRELECECTBelecX ProtocolspectrecoinlivetelecasttokenProject WITH

瑞波幣