知名以太錢包服務被駭客綁架,損失30萬美元之餘也被使用者判了死刑

全網最知名的以太坊錢包網站 MyEtherWallet 因為部分地區 Google DNS 被劫持,導致大量使用者訪問地址後跳轉到釣魚網站,損失超過 30 萬美元的數位資產。
評論
評論

原文刊登於 虎嗅網 ,作者區塊律動(微信公眾號:BlockBeats),INSIDE 授權轉載。

本週二晚,全網最知名的以太坊錢包網站 MyEtherWallet 因為部分地區 Google DNS 被劫持,導致大量使用者訪問地址後跳轉到釣魚網站,損失超過 30 萬美元的數位資產。

具體細節不多闡述,簡單來講就是駭客利用網際網路運營商網路協議中一個存在很久的漏洞干擾了「網站導航」,導致使用者訪問 A 網站的時候跑到 B 網站去了。如果 B 網站是模仿 A 的釣魚網站的話,那麼使用者是很難辨別真假,而在 B 網站上的任何操作都會被駭客記錄,包括賬號密碼、上傳的文件、操作行為等。

早在 3 個月前就曝光過該安全風險的 Blue Protocol 公司,今天凌晨再次發出安全預警,MyEtherWallet 網站的 DNS 劫持依舊持續中,請不要訪問。

針對這一事件,區塊律動 BlockBeats(ID:BlockBeats)與區塊鏈安全團隊 PeckShield、imToken 錢包技術專家進行討論之後,認為這次 MyEtherWallet 使用者資產被釣魚事件主要責任在使用者和運營商,使用者和項目方的安全意識有待提高。

但這次事件也宣布了網頁錢包工具即將死亡。

MyEtherWallet 是一家甚麼樣的網站?

2017 年進入幣圈的使用者對這家網站應該比較熟悉,這是一個基於網頁的以太坊錢包生成、查看工具。在錢包類 App 還沒有流行的時候,大家要麼使用客戶端版的錢包,要麼就是使用網頁版的 MyEtherWallet。

用過的人都知道,MyEtherWallet 使用體驗非常不友好。但這並不妨礙 MyEtherWallet 成為第一大以太坊網頁錢包應用。

區塊律動 BlockBeats(ID:BlockBeats)發現 MyEtherWallet 的月 PV 在 1400 萬,使用者量非常大,停留時間也很長,達到了 4 分半。

而從 MyEtherWallet 的訪問區域來看以美國、俄羅斯、越南、日本為主,這些國家並沒有很流行的錢包類 App 供使用者使用,是他們使用網頁版錢包的主要原因之一。

MyEtherWallet 的訪問流量來源中,有 75% 的流量是直接訪問,也就是直接在瀏覽器的地址框中輸入或者是點擊瀏覽器的收藏夾進行訪問。直接訪問,這很符合 MyEtherWallet 每時每刻都在提醒使用者的安全指引。

安全公司 4 個月前就發出警告,但是被質疑是騙子

今年年初暴漲的讓 MyEtherWallet 團隊容不得任何批評,不願意承認自家的網站存在被 DNS 劫持的風險。

今年 1 月 9 日,去中心化二步驗證團隊 Blue Protocol 在 Twitter 連續發布多個針對 MyEtherWallet 的 DNS 安全預警,稱多個地區的使用者表示自己訪問 MyEtherWallet 的時候會被導航到假的 MyEtherWallet 網站。

此時引發大量討論,MyEtherWallet 團隊對此回應稱「打擊謠言傳播」,並配上雞湯文《陽光總在黑暗之後破曉》。

以太坊基金會的 Hudson Jameson 甚至稱這個團隊「令人噁心」「傳播謠言來吸引使用者使用他們的服務」。

而如今,反駁這個安全預警的兩人都被網友啪啪打臉。

為什麼 MyEtherWallet 團隊會如此有信心?或許是因為被高漲的流量沖昏了頭腦,MyEtherWallet 的網站流量在 1 月份的時候達到歷史最高值,使其成為網頁錢包工具中流量最高的網站。

他們天真地認為,存在於傳統網際網路的駭客套路不可能出現在區塊鏈上,但卻忘記了即便是區塊鍊網路也需要接入運營商的網路,再高級的技術也逃不過打擊。

MyEtherWallet 已經盡到了告知義務

每次使用者登陸,頁面上任何可以放提示信息的地方,都放滿了對使用者的安全提示信息。幾乎每時每刻,MyEtherWallet 都在提醒使用者:MyEtherWallet 不是一個銀行,我們不幫你保存任何資產,你要明白區塊鏈數字資產的含義,要明白你在這裡使用的不是一個「錢包」,認准我們的網站,記得安裝 metamask 插件,丟了錢是你自己的問題。

但是使用者根本不用 metamask,更不懂區塊鏈上的數字錢包具體的含義,也不看瀏覽器地址上的綠條條,只關心自己今天賺了多少錢,虧了多少錢。

然而這些努力在 DNS 劫持面前,失去了意義。

網頁錢包的緩慢死亡

毫無疑問,同樣的問題已經發生了不止一次,最起碼在 MyEtherWallet 上就已經發生了 2 次。而這種因為運營商網路漏洞而造成的 DNS 劫持還將持續進行,截至發稿 MyEtherWallet 的 DNS 劫持依舊持續存在。

MyEtherWallet 團隊發表聲明,要求使用者在官方確認可以使用之前,不要嘗試使用 MyEtherWallet 的網頁錢包。

對於這種你永遠都不知道什麼時候會發生、什麼時候會停止的安全問題,一朝被蛇咬十年怕井繩, MyEtherWallet 即便官方聲明已經修復該問題,你還敢使用嗎?

安全專家怎麼看

對於 MyEtherWallet 發生的安全事故,區塊律動 BlockBeats(ID:BlockBeats)與安全團隊 PeckShield 創始人蔣旭憲和 imToken 團隊的 CSO Blue 進行了溝通交流。

蔣旭憲表示,對於區塊鏈行業,最近發生的幾期安全事故,能夠有效地引導從業者提高對區塊鏈安全問題的認知。同時,也有助於提高大眾對於區塊鏈數字資產的爭取認識。

據了解,已經有不少區塊鏈團隊準備拿出部分預算尋找安全團隊或者安全解決方案。imToken 團隊的 CSO Blue 則表示,DNS 劫持不好防範,網頁錢包收到預警後應當向使用者做出安全提示。面對 DNS 劫持,網頁版錢包沒有招架之力,經歷相關事件後估計大家會對此比較悲觀。

對於使用者來講,冷錢包或者相對更安全的 App 錢包,是比網頁錢包更安全的方式。而整個產業也需要加強對使用者的安全教育,普及區塊鏈數位資產的安全教育知識,為區塊鏈安全生態貢獻力量。