抹茶交易所

一天，当你在支付宝，转账时，一个弹出窗口提示你转账失败，因为版本太低。

如果弹出窗口不仅提示您交易失败，还附加了支付宝更新链接，大多数人可以方便地点击该链接进行更新。

如果此链接是网络钓鱼链接并直接获得您的转账权限，则意味着您帐户中的钱将被无情地转账。

这一次，一个用户遇到了类似的情况。

北京时间8月31日，CertiK  Skynet检测到被Github用户“1400比特币石”窃取的1400个比特币代币已经开始被送到不同的地址。

受害者在electrum的《Github》杂志上告诉我，他丢失了1400枚比特币，并公布了他的比特币钱包地址：

在区块链的浏览器中(参见链接3)，你可以看到在8月30日，总共有1404个BTC(价值1670万美元)被从他的钱包中取出并存入黑客的钱包。

事件恢复和分析

该用户使用的是2017年最后一次使用的Electrum比特币钱包。从那以后，Electrum发布了一个安全更新，但是这个用户没有安装它。

当用户使用电子钱包进行交易时，电子钱包将向服务器广播交易。如果此事务有问题，服务器将返回一条错误消息，并以弹出窗口的形式显示给用户。

3.3.2版之前的Electrum钱包不会验证服务器返回的错误信息，甚至不会以html格式呈现返回的信息(参见链接4)。

值得一提的是，任何人都可以构建一个Electrum节点服务器。如果用户连接到攻击者的服务器并启动事务，服务器可以返回任何设计的错误消息。例如，返回一条错误消息，要求用户更新Electrum钱包，如下图所示。

然而，图中的链接指向攻击者自己编写的恶意软件。一旦用户下载并安装了该软件并导入了他的钱包，钱包中的所有比特币都将被攻击者转移走。

事实上，这本质上是一个网络钓鱼攻击，但是由于攻击者发送的网络钓鱼信息是通过Electrum  官方的钱包显示的，很多人会相信。

在这起事件中，受害者的钱包被连接到攻击者控制的服务器上，这导致他收到服务器发送的网络钓鱼信息，然后攻击者转移了他所有的比特币。

电子钱包的这个问题早在2020 年底(参见链接4)就已经被广泛讨论。

驻极体官方在钱包版本3 . 3 . 42020中修正了这个问题。Electrum  wallet的后续版本将不再直接向用户显示服务器返回的内容，也不会以html呈现。

此外，由于旧钱包仍然存在这个问题，所有普通服务器将在3.3版之前通过拒绝服务(DoS)攻击钱包，迫使用户更新它(参见链接5)。

CertiK安全团队建议

当用户使用钱包进行交易时，他们应该确保钱包是最新版本，旧版本的钱包可能有漏洞，被黑客利用。

用户在下载钱包更新时应注意验证下载网址是否与官方一致，并在下载后验证钱包签名。

对于钱包开发团队来说，有必要找一个专业的团队来做好测试工作，这样才能避免项目漏洞给用户造成的损失。