黑客从Electrum钱包窃取价值75万美元的比特币

更多全球网络安全资讯尽在E安全官网www.easyaq.com

小编来报：黑客利用了某个关键漏洞，从 Electrum比特币钱包偷走了200余枚比特币，价值逾75万美元。

据SecurityAffairs 1月2日报道，黑客从 Electrum比特币钱包偷走了200余枚比特币，价值逾75万美元。该攻击始于2018年12月21日，黑客利用了一个2018年初解决的关键漏洞。

 

攻击者可利用该漏洞通过Electrum流氓服务器向不知情的用户生成并弹出窗口。

 

用户被要求下载并安装某紧急安全更新。

Electrum钱包漏洞

 

Electrum比特币钱包并未下载整个区块链，信息是由远程服务器提供的。

 

攻击者将恶意服务器添加至钱包的网络中，并且每当用户尝试发起比特币交易时都会弹出这些消息。黑客设置了一个GitHub页面，要求用户下载安装实为恶意软件的安全更新。

 

一旦用户完成安装，恶意代码便会引导用户输入双因素身份验证代码，这将允许攻击者接管钱包并窃取比特币。

 

黑客利用了33个假冒服务器，专家认为黑客可在Electrum开发人员修复该问题前使用类似的技术。

 

实际上，目前已移除GitHub页面，攻击也已被阻断。

 

Hack Read报道，“尽管Electrum团队尚未开发出相应策略，以应对将来的类似攻击，但该团队可在攻击初期降低对用户钱包余额危害的严重程度。”

 

“该团队从丰富的HTML文本中更改了黑客信息的外观，并移除了原始信息中导向虚假 GitHub Repo的链接。”

 

别名为SomberNight的Electrum开发员上线后解释道，黑客在3.3.2版本发布后发起了攻击。因为完整的修复程序需要更新整个“联合服务生态系统”，该合法更新并未修复问题。

 

“此前Electrum并未公布该攻击，因为攻击者在3.3.2版本发布前后停止了攻击……而现在，攻击者再次发起攻击。”

 

这并非Electrum首次遭黑客攻击，2018年初黑客利用BitMessage客户端的零日漏洞窃取了Electrum的钱包密钥。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读：

• 印度当局要求社交网络利用微软PhotoDNA扫描所有照片
  

• 数据泄露——维多利亚州政府雇员详情外泄
  

• 未经用户同意，某些流行安卓应用程序与脸书共享用户的数据
  

• 谷歌针对短信推出垃圾电邮保护功能
  

• 黑客用假手绕过基于静脉的身份验证
  

• 2019年1月起，欧盟将为14个开源项目漏洞赏金计划支付赏金

▼点击“阅读原文” 查看更多精彩内容

喜欢记得打赏小E哦！