Github用户1400枚比特币被盗事件分析

某天，你在支付宝上转账时，因为版本太低，弹窗提示转账失败。

如果弹窗不仅提示交易失败比特币是哪里来的，还附有支付宝更新链接，一般人可能会点击链接进行更新。

如果这个链接是钓鱼链接，直接获得了你的转账权限，就意味着你账户里的钱也会被无情的转走。

这一次比特币是哪里来的，一位用户遇到了类似的情况。

北京时间8月31日，CertiK天网系统（Skynet）检测到Github用户“1400BitcoinStolen”被盗的1400个比特币的代币开始被发送到多个不同的地址。

受害人在 electrum 的 Github issue 中讲述了丢失 1400 个比特币的事情，并公布了自己的比特币钱包地址。

在区块链浏览器（参考链接3）中可以看到，8月30日共计1404个BTC（价值1670万美元）从他的钱包中取出，存入黑客的钱包。

事件恢复和分析

用户使用的是 Electrum 比特币钱包，上次使用是在 2017 年。Electrum 此后发布了安全更新，但用户尚未安装。

当用户使用 Electrum 进行交易时，钱包将向服务器广播交易。 如果交易出现问题，服务器会返回错误信息，并以弹窗的形式显示给用户。

3.3.2版本之前的Electrum钱包不会校验服务器返回的错误信息，甚至会将返回信息渲染成html（参考链接4）。

值得一提的是，任何人都可以架设 Electrum 节点服务器。 如果用户连接到攻击者的服务器并发起交易，服务器可以返回任何设计的错误消息。 例如返回错误信息要求用户更新Electrum钱包，如下图所示。

不过图中的链接指向的是攻击者自己编写的恶意软件。 一旦用户下载并安装该软件并将自己的钱包导入其中，钱包中的所有比特币将被攻击者转移。

这其实本质上是钓鱼攻击，但是由于攻击者发送的钓鱼信息是通过官方Electrum钱包展示出来的，所以很多人会信以为真。

在这起事件中，受害者的钱包连接到攻击者控制的服务器，导致其收到来自服务器的钓鱼信息，攻击者转移了他所有的比特币。

Electrum 钱包的问题早在 2018 年底就已被广泛讨论（参考链接 4）。

Electrum官方在2019年的钱包3.3.4版本中修复了这个问题，后续版本的Electrum钱包将不再直接显示服务器返回给用户的内容，也不会渲染html。

另外，由于旧版钱包依然存在该问题，所有正常服务器都会对3.3之前版本的钱包进行拒绝服务（DoS）攻击，强制用户更新（参考链接5）。

CertiK 安全团队建议

用户在使用钱包进行交易时，需要确保钱包是最新版本。 旧版本的钱包可能存在可被黑客利用的漏洞。

用户在下载钱包更新时注意验证下载地址是否与官方一致，下载完成后验证钱包签名。

对于钱包开发团队来说，需要找一个专业的团队来做测试工作，以免项目出现漏洞，给用户造成损失。

参考链接：

1.

2.

3.

4.

5.