Github 用户 1400 枚比特币被盗情况分析

某天，当您使用支付宝转账时，弹窗提示您由于版本过时导致转账失败。

如果弹窗不仅提示交易失败比特币钱包1000个会被盗吗，还附有支付宝更新链接，大部分人可能会点击链接更新。

如果这个链接是钓鱼链接，直接获取你的转账权限，那就意味着你账户里的钱也会被无情的转账。

这一次，一位用户遇到了类似的情况。

北京时间8月31日，CertiK天网系统（Skynet）检测到Github用户“1400BitcoinStolen”1400个比特币被盗，代币被发送至多个不同地址之间。

受害者报告称在 Electron Github 问题中丢失了 1,400 个比特币，并发布了他的比特币钱包地址。

在区块链浏览器中（参考链接3)，你可以看到8月30日总共有1404 BTC（价值1670万美元））从他的钱包中取出并存入了黑客的钱包。

事件恢复与分析

用户使用 Electrum 比特币钱包最后一次使用是在 2017 年。此后 Electrum 发布了安全更新，但用户尚未安装。

当用户使用Electrum进行交易时，钱包向服务器广播一笔交易，如果该笔交易出现问题，服务器会返回错误信息并以弹窗的形式显示给用户-向上窗口。

3.3.版本2之前的电子钱包服务器返回的错误信息不会被验证，甚至返回的信息会以html呈现（参考链接4） .

值得一提的是，任何人都可以搭建 Electrum 节点服务器。如果用户连接到攻击者的服务器并发起交易，服务器可以根据设计返回任何错误消息。例如，返回一条错误消息，要求用户更新 Electrum 钱包，如下所示。

但是，图片中的链接指向攻击者自己编写的恶意软件。一旦用户下载并安装软件并将其钱包导入其中，所有的比特币将被攻击者转移。

这其实是一次钓鱼攻击，但是由于攻击者发送的钓鱼信息是通过Electrum官方钱包显示的，所以很多人会相信。

在此事件中，受害者的钱包连接到攻击者控制的服务器，使其收到来自服务器的钓鱼消息，然后攻击者转移了他所有的比特币。

Electrum 钱包的问题早在 2018 年底就被广泛讨论（参考链接4)。

2019年Electrum官方，钱包版本3.3.4中已修复此问题，后续版本Electrum钱包将不再直接显示服务器返回给用户的内容，也不会在 html 中呈现。

另外，由于老版本的钱包还有这个问题比特币钱包1000个会被盗吗，所有正常的服务器都会对3.3版本之前的钱包进行拒绝服务（DoS）攻击，强制用户更新（参考链接 5）)。

CertiK 安全团队推荐

用户在使用钱包进行交易时，需要确保钱包是最新版本，并且旧版本的钱包已经受到保护，可能存在被黑客利用的漏洞。

用户在下载钱包更新时要注意验证下载地址是否与官方一致，下载完成后验证钱包签名。

对于钱包开发团队来说，一定要找专业的团队做好测试，避免项目漏洞，给用户造成损失。

参考链接：

1.

2.

3.

4.

5.