欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

CertiK:Github用户1400枚比特币被盗事件分析

admin2020-09-0433资讯

CertiK:Github用户1400枚比特币被盗事件分析  资讯 第1张

北京时间8月31日,CertiK天网系统 (Skynet) 检测到,Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币,已开始被输送到多个不同的地址当中。



受害者在electrum的Github issue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址.
在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC(价值1670万美元)从他的钱包中被取出,存入了黑客的钱包中。
CertiK:Github用户1400枚比特币被盗事件分析  资讯 第2张



事件还原与分析



该用户使用的是Electrum比特币钱包,上次使用是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装。
用户在使用Electrum进行交易时,钱包会向服务器广播一笔交易,如果这笔交易出现了问题服务器将返回错误信息并以弹窗的形式展现给用户。
3.3.2版本之前的Electrum钱包不会对服务器返回的错误信息进行验证,甚至还会对返回的信息进行html渲染(参考链接4)。
值得一提的是,任何人都可以去搭建一个Electrum节点服务器。如果一个用户连接到了攻击者的服务器并发起了一笔交易,服务器可以返回任何设计好的错误信息。比如返回一个让用户去更新Electrum钱包的错误信息,如下图所示。
CertiK:Github用户1400枚比特币被盗事件分析  资讯 第3张
然而,图中的链接指向了攻击者自己写的恶意软件,一旦用户下载安装该软件并把自己的钱包导入其中,钱包里所有的比特币就会被攻击者转走。
这其实本质上是一种钓鱼攻击,但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的,很多人都会信以为真。
在本次事件中,受害者的钱包连接上了攻击者所控制的服务器,导致其收到了服务器发出的钓鱼信息,进而被攻击者转走了自己的所有比特币。
Electrum钱包存在的该问题早在2018年底就引起了广泛讨论(参考链接4)。
Electrum官方在2019年,钱包版本3.3.4中对该问题进行了修复,后续版本的Electrum钱包不再会将服务器返回的内容直接展示给用户,也不会对其进行html渲染。
此外,由于旧版本的钱包仍然存在这个问题,因此所有的正常的服务器会对3.3版本之前的钱包进行拒绝服务(DoS)攻击,以强制用户进行更新(参考链接5)。



建议





· 用户在使用钱包进行交易的时候,需确保钱包为最新版本,已防旧版本的钱包可能存在可被黑客利用的漏洞。

· 用户在下载钱包更新的时候要注意验证下载URL是否与官方一致,在下载完成后要对钱包的签名进行验证。

· 对于钱包开发团队,需要寻找专业团队做好测试工作,以免项目出现漏洞给用户带来损失。

CertiK:Github用户1400枚比特币被盗事件分析  资讯 第4张

参考链接:

1. https://github.com/spesmilo/electrum/issues/5072

2. https://zhuanlan.zhihu.com/p/53920688

3. https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54

4. https://github.com/spesmilo/electrum/issues/4968

5. http://twitter.com/electrumwallet/status/1106479573917724672


 

ELF恶意软件的静态分析原理和方法(下)

上一篇文章,我们介绍了ELF恶意软件的威胁概况和背景信息,本文,我们会具体用一个样本进行静态分析。 ELF标头 ELF标头包含有关二进制文件的常规数据,例如二进制文件的入口点和程序标头表的位置。这些信息在初始文件分析过程中并不重要,但是文件的体系结构可以帮助我们了解文件设计在哪台计算机上运行,这样可以防止我们运行文件。 让我们运行readelf -h training-sample来查看样本的标题信息: 有几种先进的恶意软件技术可以利用ELF标头的结构。 文件输出 仅在VM上运行文件总是很有用的,如果文件显示输出,则可能会立即帮助我们确定它是什么。注意:在运行文件之前,请确保已保存虚拟机的截屏。 字符串 字符串提取是收集二进制文件信息的一种经典而强大的方法,为了方便起见,让我们在文件上运行strings命令,然后将字符串提

网友评论