兩小時捲走13000美金！MyEtherWallet DNS劫持事件深度分析

新聞 04-29

幣圈無寧日。無論加密貨幣或是區塊鏈技術有多麼廣闊的未來，也不該成為目前混亂現狀的理由。圈子裡的玩家成分複雜，有真正懂行的，也有純粹湊熱鬧的，目前看來後者佔據更多。稍有風吹草動便是頭條新聞，昨天Myetherwallet的遭遇又為幣圈故事添上了教育性的一筆。

事件回顧

Myetherwallet，是目前最受歡迎的以太坊錢包。4月24日發生的一連串事故，讓很多用戶在一臉懵逼中錢包被清空，兩個小時的時間裡，黑客捲走至少13000美元。一度懷疑是平台遭黑客入侵，畢竟此前發生加密貨幣交易平台被黑客攻擊的案例並不少見。

一位用戶在Reddit上發布一條帖子稱自己可能被騙了——Think I got scammed/phished/hacked，該用戶登錄Myetherwallet的時候，僅僅10秒鐘的時間，錢包里的ETH就被發送到另一個錢包中。

根據其描述，在進入Myetherwallet網站的時候，Chrome提示「網站不安全」，「儘管身體的每個部分都告訴我不要嘗試登錄」，但還是沒控制住自己手。

目前已經有不少用戶遭遇了這種情況，但也有一些人看到瀏覽器提醒SSL證書未簽名，便沒有繼續登錄，避免了遭遇損失。

攻擊過程

MyEtherWallet在隨後的公告中證實了這次攻擊，建議用戶使用MyEtherWallet的本地（離線）副本。截至筆者發稿時，MyEtherWallet已經恢復正常，並給出了事故的發生原因，並非MyEtherWallet的安全問題，而是由於Amazon的DNS遭到劫持所導致。

根據這次事故發生情況來看，攻擊持續了大約兩個小時，攻擊者利用多個賬戶轉走了受害者的ETH，總價值超過13000美元。而已知的賬戶地址能夠看到詳細的交易記錄，基本已經全部被提出。

儘管事先大多數人懷疑是MyEtherWallet遭受黑客攻擊導致，這次黑客並非直接攻擊MyEtherWallet網站，而是從互聯網基礎設施下手。黑客通過中間人攻擊，利用墨西哥Equinix的伺服器重定向DNS流量，google DNS伺服器8.8.8.8返回www.myetherwallet.com錯誤的IP地址是和無效的SSL證書，此IP為俄羅斯的伺服器，這個伺服器提供了假的證書，並且能竊取用戶的用於貨幣交易用的私鑰。

向MyEtherWallet用戶顯示的錯誤證書

而大多數用戶都是使用的Google DNS伺服器，當用戶訪問MyEtherWallet.com時，出現 HTTPS 證書錯誤提示，但有些用戶安全意識較低，進行了強制訪問，攻擊者此時可以通過頁面劫持，注入任意惡意js文件來獲取用戶登錄在線錢包的密碼、私鑰明文等。

攻擊者竊取用戶私鑰後，第一時間就將所有餘額轉到其錢包地址中。10秒鐘的倒計時，足以清空受害者的錢包。

目前已知的攻擊者錢包地址為：

https://etherscan.io/address/0x1d50588c0aa11959a5c28831ce3dc5f1d3120d29

https://etherscan.io/address/0xf203a3b241decafd4bdebbb557070db337d0ad27

https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94b620a583a39

黑客在這次攻擊中利用的BGP攻擊技術，FreeBuf很早之前有過對這方面的介紹。這種技術由一個網路服務提供商或是其他網路基礎設施提供者進行操作。通常，取消這樣的劫持需要侵入由ISP或其他網際網路基礎設施提供商操作的BGP伺服器。

一直以來，BGP劫持一直被稱為互聯網的一個根本弱點，它被設計為無需驗證就接受路由。但這種攻擊方式非常罕見，尤其是在如此大規模的事件中。此次的攻擊手法如此之強大，範圍大到了主要的互聯網服務提供商，和強大的DNS流量處理能力。極有可能MyEtherWallet.com不是唯一的目標。但目前為止，MyEtherWallet是唯一確認受到此類攻擊的伺服器。

安全警示

針對事件，FreeBuf也總結出一些建議提醒用戶提升防範意識：