2018 年 12 月,慢雾第一次发现并预警了有攻击者利用 Electrum 钱包客户端的消息缺陷,在用户转币操作时强制弹出「更新提示」,诱导用户更新下载恶意软件,进而实施盗币攻击。
这种「更新提示」不是 Electrum 官方行为,而是攻击者利用 Electrum 客户端和 ElectrumX 服务器的消息缺陷发起的钓鱼攻击,攻击者需要提前部署恶意的 ElectrumX 服务器,并且这个恶意服务器被用户的 Electrum 客户端纳入本地(因为 Electrum 客户端是轻钱包,用户需要 ElectrumX 服务器来广播交易)。疯狂时,恶意的 ElectrumX 服务器占全部的 71% 之多,据不完全统计,过去一年多,这种钓鱼攻击已经盗取了数百枚比特币。
虽然在 2019 年初 Electrum 官方就说要采取一些安全机制来杜绝这种「更新钓鱼」的发生,比如:
1. 补丁 Electrum 客户端不显示丰富的文本,不允许任意消息,只有严格的消息;
2. 补丁 ElectrumX 服务器实现检测 Sybil Attack(即女巫攻击,发送钓鱼消息的恶意服务器),并不再向客户端广播它们;
3. 实施黑名单逻辑,在 Electrum 客户端视图之外提醒恶意服务器;
4. 在社交网站、网站和与用户存在的所有通信形式上大力宣传,他们应该始终运行最新版本,并且始终只从官方来源 (electrum.org) 安装,通过安
全协议 (https) 访问,并事先验证 GPG 签名。
但许多用户的 Electrum 还处于老版本状态(小于 3.3.4),老版本还处于威胁之中。不过不排除新版本也会有相似威胁。
近期,慢雾科技反洗钱 (AML) 系统通过持续追踪发现,其中一个攻击者钱包地址 bc1qcygs9dl4pqw6atc4yqudrzd76p3r9cp6xp2kny 已累计盗取 30 多枚 BTC,作案时间持续半年,并且近期还在活跃。慢雾科技在此提醒 Electrum 用户注意「更新提示」,这种「更新提示」里的新版本 Electrum 很可能是假的,如果有安装,请及时在其他安全环境将比特币转出。同时我们呼吁广大加密货币交易所、钱包等平台的 AML 风控系统拉黑并监测如上比特币地址。
最后,认准 Electrum 官方网址:https://electrum.org/
区块律动 BlockBeats 提醒,根据银保监会等五部门于 2018 年 8 月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件,请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。