CertiK：Github 用户 1400 枚比特币被盗情况分析

北京时间8月31日，CertiK天网系统（Skynet）检测到Github用户“1400BitcoinStolen”1400比特币被盗。被发送到多个不同的地址。

受害者在Electrum Github issue中报告说他丢失了1400个比特币并发布了他的比特币钱包地址。在区块链浏览器中（参考链接 3) 可以看到，8 月 30 日从他的钱包中提取了总共 1404 个 BTC（价值 1670 万美元）并存入了黑客的钱包。

事件恢复与分析

用户正在使用 Electrum 比特币钱包，该钱包最后一次使用是在 2017 年。此后，Electrum 发布了安全更新，但用户尚未安装。用户在使用 Electrum 进行交易时，钱包会将交易广播到服务器。如果交易出现问题，服务器会返回错误信息，并以弹窗的形式显示给用户。3.3.版本2之前Electrum钱包不会验证服务器返回的错误信息，甚至将返回的信息渲染成html（参考链接4）。值得一提的是，任何人都可以搭建Electrum节点服务器。如果一个用户连接到攻击者的服务器并且发起交易比特币被盗案件，服务器可以返回任何设计的错误信息。例如，要求用户更新 Electrum 钱包的错误信息，如下所示。

但是，图片中的链接指向攻击者自己编写的恶意软件。一旦用户下载并安装软件并将他的钱包导入其中，钱包中的所有比特币都将丢失。由攻击者转移。这其实是一种钓鱼攻击，但是由于攻击者发送的钓鱼信息是通过Electrum官方钱包显示的，所以很多人会相信。在本次事件中，受害者的钱包连接到攻击者控制的服务器，导致其接收到来自服务器的钓鱼消息，然后攻击者转移了他所有的比特币。 Electrum 钱包的这个问题早在 2018 年底就引起了广泛的讨论（参考链接 4)。Electrum 在 2019 年的钱包版本 3.3.4 及后续版本中正式修复了这个问题Electrum 钱包将不再直接向用户显示服务器返回的内容，也不会进行 html 渲染。另外，由于旧版本的钱包仍然存在这个问题，所有正常的服务器都会做拒绝服务（ DoS) 攻击 3. pre-version 3 钱包以强制用户更新（参考链接 5）。

推荐

· 用户在使用钱包进行交易时，需要确保钱包为最新版本，旧版本的钱包可能存在黑客可利用的漏洞。

·用户在下载钱 更新包时注意验证下载地址与官方一致比特币被盗案件，下载完成后验证钱包签名。

·对于钱包开发团队来说，一定要找专业的团队做好测试，以免出现项目漏洞，给用户造成损失。

参考链接：

1.

2.

3.

4.

5.