知名以太錢包服務被駭客綁架,損失30萬美元之餘也被使用者判了死刑

全網最知名的以太坊錢包網站 MyEtherWallet 因為部分地區 Google DNS 被劫持,導致大量使用者訪問地址後跳轉到釣魚網站,損失超過 30 萬美元的數位資產。
評論
評論

原文刊登於 虎嗅網 ,作者區塊律動(微信公眾號:BlockBeats),INSIDE 授權轉載。

本週二晚,全網最知名的以太坊錢包網站 MyEtherWallet 因為部分地區 Google DNS 被劫持,導致大量使用者訪問地址後跳轉到釣魚網站,損失超過 30 萬美元的數位資產。

具體細節不多闡述,簡單來講就是駭客利用網際網路運營商網路協議中一個存在很久的漏洞干擾了「網站導航」,導致使用者訪問 A 網站的時候跑到 B 網站去了。如果 B 網站是模仿 A 的釣魚網站的話,那麼使用者是很難辨別真假,而在 B 網站上的任何操作都會被駭客記錄,包括賬號密碼、上傳的文件、操作行為等。

早在 3 個月前就曝光過該安全風險的 Blue Protocol 公司,今天凌晨再次發出安全預警,MyEtherWallet 網站的 DNS 劫持依舊持續中,請不要訪問。

針對這一事件,區塊律動 BlockBeats(ID:BlockBeats)與區塊鏈安全團隊 PeckShield、imToken 錢包技術專家進行討論之後,認為這次 MyEtherWallet 使用者資產被釣魚事件主要責任在使用者和運營商,使用者和項目方的安全意識有待提高。

但這次事件也宣布了網頁錢包工具即將死亡。

MyEtherWallet 是一家甚麼樣的網站?

2017 年進入幣圈的使用者對這家網站應該比較熟悉,這是一個基於網頁的以太坊錢包生成、查看工具。在錢包類 App 還沒有流行的時候,大家要麼使用客戶端版的錢包,要麼就是使用網頁版的 MyEtherWallet。

用過的人都知道,MyEtherWallet 使用體驗非常不友好。但這並不妨礙 MyEtherWallet 成為第一大以太坊網頁錢包應用。

區塊律動 BlockBeats(ID:BlockBeats)發現 MyEtherWallet 的月 PV 在 1400 萬,使用者量非常大,停留時間也很長,達到了 4 分半。

而從 MyEtherWallet 的訪問區域來看以美國、俄羅斯、越南、日本為主,這些國家並沒有很流行的錢包類 App 供使用者使用,是他們使用網頁版錢包的主要原因之一。

MyEtherWallet 的訪問流量來源中,有 75% 的流量是直接訪問,也就是直接在瀏覽器的地址框中輸入或者是點擊瀏覽器的收藏夾進行訪問。直接訪問,這很符合 MyEtherWallet 每時每刻都在提醒使用者的安全指引。

安全公司 4 個月前就發出警告,但是被質疑是騙子

今年年初暴漲的讓 MyEtherWallet 團隊容不得任何批評,不願意承認自家的網站存在被 DNS 劫持的風險。

今年 1 月 9 日,去中心化二步驗證團隊 Blue Protocol 在 Twitter 連續發布多個針對 MyEtherWallet 的 DNS 安全預警,稱多個地區的使用者表示自己訪問 MyEtherWallet 的時候會被導航到假的 MyEtherWallet 網站。

此時引發大量討論,MyEtherWallet 團隊對此回應稱「打擊謠言傳播」,並配上雞湯文《陽光總在黑暗之後破曉》。

以太坊基金會的 Hudson Jameson 甚至稱這個團隊「令人噁心」「傳播謠言來吸引使用者使用他們的服務」。

而如今,反駁這個安全預警的兩人都被網友啪啪打臉。

為什麼 MyEtherWallet 團隊會如此有信心?或許是因為被高漲的流量沖昏了頭腦,MyEtherWallet 的網站流量在 1 月份的時候達到歷史最高值,使其成為網頁錢包工具中流量最高的網站。

他們天真地認為,存在於傳統網際網路的駭客套路不可能出現在區塊鏈上,但卻忘記了即便是區塊鍊網路也需要接入運營商的網路,再高級的技術也逃不過打擊。

MyEtherWallet 已經盡到了告知義務

每次使用者登陸,頁面上任何可以放提示信息的地方,都放滿了對使用者的安全提示信息。幾乎每時每刻,MyEtherWallet 都在提醒使用者:MyEtherWallet 不是一個銀行,我們不幫你保存任何資產,你要明白區塊鏈數字資產的含義,要明白你在這裡使用的不是一個「錢包」,認准我們的網站,記得安裝 metamask 插件,丟了錢是你自己的問題。

但是使用者根本不用 metamask,更不懂區塊鏈上的數字錢包具體的含義,也不看瀏覽器地址上的綠條條,只關心自己今天賺了多少錢,虧了多少錢。

然而這些努力在 DNS 劫持面前,失去了意義。

網頁錢包的緩慢死亡

毫無疑問,同樣的問題已經發生了不止一次,最起碼在 MyEtherWallet 上就已經發生了 2 次。而這種因為運營商網路漏洞而造成的 DNS 劫持還將持續進行,截至發稿 MyEtherWallet 的 DNS 劫持依舊持續存在。

MyEtherWallet 團隊發表聲明,要求使用者在官方確認可以使用之前,不要嘗試使用 MyEtherWallet 的網頁錢包。

對於這種你永遠都不知道什麼時候會發生、什麼時候會停止的安全問題,一朝被蛇咬十年怕井繩, MyEtherWallet 即便官方聲明已經修復該問題,你還敢使用嗎?

安全專家怎麼看

對於 MyEtherWallet 發生的安全事故,區塊律動 BlockBeats(ID:BlockBeats)與安全團隊 PeckShield 創始人蔣旭憲和 imToken 團隊的 CSO Blue 進行了溝通交流。

蔣旭憲表示,對於區塊鏈行業,最近發生的幾期安全事故,能夠有效地引導從業者提高對區塊鏈安全問題的認知。同時,也有助於提高大眾對於區塊鏈數字資產的爭取認識。

據了解,已經有不少區塊鏈團隊準備拿出部分預算尋找安全團隊或者安全解決方案。imToken 團隊的 CSO Blue 則表示,DNS 劫持不好防範,網頁錢包收到預警後應當向使用者做出安全提示。面對 DNS 劫持,網頁版錢包沒有招架之力,經歷相關事件後估計大家會對此比較悲觀。

對於使用者來講,冷錢包或者相對更安全的 App 錢包,是比網頁錢包更安全的方式。而整個產業也需要加強對使用者的安全教育,普及區塊鏈數位資產的安全教育知識,為區塊鏈安全生態貢獻力量。


從俄烏戰爭居安思危!智慧國家如何鞏固數位基礎建設提升韌性?

數個月過去,俄烏戰爭仍在持續中,期間也讓我們看到了許多現代戰爭的科技應用,烏克蘭又是如何透過這些新科技的應用,使俄羅斯久攻不下?又有什麼值得我們借鏡之處?
評論
Photo Credit:Shutter Stock/ TPG Images
評論

文學經典名著《雙城記》以法國大革命爲背景,開頭寫道:「那是最好的時代,那是最壞的時代;那是智慧的時代,那是愚蠢的時代…」歷史總是一再重演,當前的烏克蘭,感受一定更深。

當全世界盡可能避免第三次世界大戰開打,烏克蘭史上最年輕的數位轉型部長費多羅夫(Mykhailo Fedorov)稱此役稱為「第一次世界網路大戰」World Cyberwar I。俄烏戰爭,從跨國IT駭客攻擊、區塊鏈促成加密貨幣捐款、到上千顆星鏈衛星系統(Starlink)突破戰地邊境,解救烏克蘭斷網危機。

俄羅斯和烏克蘭的軍力差距不小,烏克蘭如何善用新型數位科技,讓俄羅斯久攻不下?

俄烏戰爭新科技精銳盡出,其實烏克蘭花了兩年強健數位韌性

不同過往戰事,俄烏戰爭不再以槍枝火炮為唯一武器,數位科技可拿來防禦,更能反守為攻。有文章描述烏克蘭的背水一戰:「以網路為戰場,推特為大砲,全球駭客為軍隊,加密貨幣和NFT籌軍餉……企圖封殺俄國的網路、經濟、資金鏈。」

面對開戰,烏克蘭號召盟友取代單打獨鬥。

他們在網路徵召30萬跨國「IT軍團」以Telegram為基地,分享俄羅斯的伺服器位置,進行一波又一波阻斷服務攻擊(DDoS)。他們也向科技巨頭求援,用Starlink低軌衛星打造戰時緊急網路通訊基礎設施,甚至說服Google地圖停止顯示要道資訊,搜尋服務加入SOS警報功能。

Photo Credit:Shutter Stock/ TPG Images

另外,烏克蘭還運用加密貨幣當成人民逃亡的「救命金」,募集1億美金虛擬貨幣捐款,甚至發行「元歷史:戰爭博物館」Meta History: Museum of War主題的NFT,兼得籌款用途並借助NFT不可竄改特性,紀錄戰爭真相向數位社群散播。

烏克蘭在戰爭爆發時,看似立刻做足準備,事實上,他們過去花了兩年半時間,強健國內的數位基礎建設。

烏克蘭在戰事之前喊出2024年「手機政府」轉型目標,把各類政府服務「Uber化」。原本用來取得數位護照、登記車輛牌照的政府APP,在戰時馬上轉變用來申請急難救助資金、身份證明文件、登錄財產損失等多項緊急功能。

以烏克蘭為對象居安思危,台灣其實也在強化數位建設提升韌性

俄烏戰爭爆發後,國際把焦點望向台灣,Wall Street Journal點出台灣網路的脆弱性,因95%網路流量數據仰賴海底電纜接收、發送。這份報導指出,美國模擬中國侵台會優先攻擊周邊海底電纜,一旦戰事發生,極有可能有一小時的訊息真空期,讓台灣與盟軍通訊失聯。

Photo Credit:Shutter Stock/ TPG Images

事實上,台灣近年非常重視網路基礎建設的重要性,像是行政院智慧國家推動小組提出智慧國家方案(2021~2025年),項下規劃數位基盤建設,為邁向智慧國家奠定基礎。

以衛星系統為例,數位基盤計畫就針對低軌衛星及地面設備投入驗證,建立低軌通訊衛星產業鏈。目前台灣積極投入自主研發關鍵技術與元件,籌組兩組低軌衛星旗艦團隊,放眼目標2026年前發射2枚通訊實驗衛星。

確實,目前已經有10家台灣業者組成「低軌衛星國家隊」,先後打進SpaceX、OneWeb及Kymeta國際供應鏈,有望一年賺進9,000億元商機。當低軌道衛星部署完備,擁有自主的衛星避免對外通訊失聯問題,等於一面強化軍事防禦;另一方面加速發展太空機會財。

除了空中衛星,台灣對海底纜線建設也持續加碼。

數位基盤建設針對亞太海纜及5G雲端聯網中心,完善在地光纖通道、強化安全防護,讓台灣成為國際資通中心樞紐。過去就有媒體點出,中美貿易戰之後,國際企業加碼把海底電纜連到台灣,將此視為新一代「護國圍牆」。

像是受到美國政府支持的Google,預計2024年啟用全新海底電纜APRICOT,這條總長約12,000公里的傳輸科技,將連通台灣、日本、關島、菲律賓、印尼多國,中華電信也有參與其中。未來幾年,預計有其他海纜通向台灣,其中一條是東南亞日本二號(SJC2),採用雙點登陸方式,也就是如果海纜被斷線,還能以陸纜方式備援,有效降低單一海纜站的事故風險。

資訊攻防成未來戰事重中之重,國家網路資安防護迫在眉睫

現代戰爭除了攻擊基礎建設,還會以細膩的AI科技進行攻防,對人民進行認知作戰。俄烏戰爭就曾以「Deepfake」仿臉AI技術,假冒烏克蘭總統宣布投降,迫使烏國政府急於闢謠。過去台灣就曾有影片示範如何快速「假冒」行政院政務委員唐鳳,三兩下功夫就能散播假訊息。

資訊烏賊戰,台灣與烏克蘭的處境,如出一轍。

調查指出,台灣連續9年奪得假訊息攻擊冠軍;至於烏克蘭,則是8年來頻繁受到俄羅斯的網路攻擊。身為假訊息最大受害國,台灣如何加以反擊?

民間成立的非營利組織「台灣事實查核中心」主動蒐集與公共事務有關的可能假訊息,啟動訊息事實查核,也加入國際事實查核聯盟(International Fact-Checking Network, IFCN)依循全球共同原則執行查核工作,甚至因應台灣人口超過9成有使用LINE通訊軟體,特別讓民眾能透過LINE訊息查證官方帳號,闢謠各種假訊息。

面對防不勝防的假訊息,被動防守不如主動攻擊!國內法人單位借助文字及影音圖形AI分析技術,針對社群帳號的行為進行鑑識、溯源,分析背後不實訊息的傳播策略。甚至進一步聯手政府部門、非政府組織,繪製「不實資訊生態傳播暨鑑識生態圖」打造不實訊息反擊體系。

從無國界組織的觀察來看,台灣新聞自由毋庸置疑,但仍有利益衝突、假新聞等問題;無國界組織認為台灣政府把脆弱的媒體生態視作國防威脅,「尤其台灣民眾對媒體信心是民主國家最低,導致民眾寧願相信假消息,也不願向專業媒體查核」。如果這情形沒有改善而遇到戰爭時,我們的新聞媒體與閱聽大眾反而是最沒有「韌性」的一環。

因為疫情關係,「超前部署」成為國人耳熟能詳詞彙,面對敵人也應該像打擊病毒一樣,平時就要鍛鍊防禦體系,尤其針對網路基礎建設,更須提前做足準備。

從俄烏戰爭鑑往知來,烏克蘭能抵擋攻擊長達三個多月,關鍵之一,就是未被摧毀的網路,對內持續通報撤退資訊;對外把第一手戰事消息帶向全世界。換言之,台灣更該從俄烏戰爭學習經驗,根據官方施政,台灣未來五年會投入最大心力,將自身蛻變成為智慧國家,綱領之一即是發展「數位基盤」網路體系,從基礎建設到資訊安全,不僅要反脆弱更要強韌性。

了解更多智慧國家方案
看更多智慧國家相關報導

行政院科技會報辦公室 廣告