黑客两小时卷走13000美金，MyEtherWallet DNS劫持事件深度分析

黑客两小时卷走13000美金，MyEtherWallet DNS劫持事件深度分析。币圈无宁日。无论加密货币或是区块链技术有多么广阔的未来，也不该成为目前混乱现状的理由。圈子里的玩家成分复杂，有真正懂行的，也有纯粹凑热闹的，目前看来后者占据更多。稍有风吹草动便是头条新闻，昨天Myetherwallet的遭遇又为币圈故事添上了教育性的一笔。

事件回顾

Myetherwallet，是目前最受欢迎的以太坊钱包。4月24日发生的一连串事故，让很多用户在一脸懵逼中钱包被清空，两个小时的时间里，黑客盗走至少13000美元，而其账户早已存储价值高达1700万美元的以太坊。一度怀疑是平台遭黑客入侵，毕竟此前发生加密货币交易平台被黑客攻击的案例并不少见。

一位用户在Reddit上发布一条帖子称自己可能被骗了——Think I got scammed/phished/hacked，该用户登录Myetherwallet的时候，仅仅10秒钟的时间，钱包里的ETH就被发送到另一个钱包中。

根据其描述，在进入Myetherwallet网站的时候，Chrome提示“网站不安全”，“尽管身体的每个部分都告诉我不要尝试登录”，但还是没控制住自己手。

目前已经有不少用户遭遇了这种情况，但也有一些人看到浏览器提醒SSL证书未签名，便没有继续登录，避免了遭遇损失。

攻击过程

MyEtherWallet在随后的公告中证实了这次攻击，建议用户使用MyEtherWallet的本地(脱机)副本。截至笔者发稿时，MyEtherWallet已经恢复正常，并给出了事故的发生原因，并非MyEtherWallet的安全问题，而是由于Amazon的DNS遭到劫持所导致。

根据这次事故发生情况来看，攻击持续了大约两个小时，攻击者利用多个账户转走了受害者的ETH，总价值超过13000美元。而已知的账户地址能够看到详细的交易记录，基本已经全部被提出。

尽管事先大多数人怀疑是MyEtherWallet遭受黑客攻击导致，这次黑客并非直接攻击MyEtherWallet网站，而是从互联网基础设施下手。黑客通过中间人攻击，利用墨西哥Equinix的服务器重定向DNS流量，google DNS服务器8.8.8.8返回www.myetherwallet.com错误的IP地址是和无效的SSL证书，此IP为俄罗斯的服务器，这个服务器提供了假的证书，并且能窃取用户的用于货币交易用的私钥。

向MyEtherWallet用户显示的错误证书

而大多数用户都是使用的Google DNS服务器，当用户访问MyEtherWallet.com时，出现 HTTPS 证书错误提示，但有些用户安全意识较低，进行了强制访问，攻击者此时可以通过页面劫持，注入任意恶意js文件来获取用户登录在线钱包的密码、私钥明文等。

攻击者窃取用户私钥后，第一时间就将所有余额转到其钱包地址中。10秒钟的倒计时，足以清空受害者的钱包。

目前已知的攻击者钱包地址为：

https://etherscan.io/address/0x1d50588c0aa11959a5c28831ce3dc5f1d3120d29

https://etherscan.io/address/0xf203a3b241decafd4bdebbb557070db337d0ad27

https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94b620a583a39

黑客在这次攻击中利用的BGP攻击技术，FreeBuf很早之前有过对这方面的介绍。这种技术由一个网络服务提供商或是其他网络基础设施提供者进行操作。通常，取消这样的劫持需要侵入由ISP或其他因特网基础设施提供商操作的BGP服务器。

一直以来，BGP劫持一直被称为互联网的一个根本弱点，它被设计为无需验证就接受路由。但这种攻击方式非常罕见，尤其是在如此大规模的事件中。此次的攻击手法如此之强大，范围大到了主要的互联网服务提供商，和强大的DNS流量处理能力。极有可能MyEtherWallet.com不是唯一的目标。但目前为止，MyEtherWallet是唯一确认受到此类攻击的服务器。

安全警示

针对事件，FreeBuf也总结出一些建议提醒用户提升防范意识：

提高安全意识，不要越过HTTPS证书强制访问

配置HSTS

HSTS 全称 HTTP Strict Transport Security，是浏览器支持的一个 Web 安全策略，如果开启了这个配置，浏览器发现 HTTPS 证书错误后就会强制不让用户继续访问。

这图可以看到MyEtherWallet.com官方不从自身找原因，疯狂甩锅。

可以使用下面网站进行自行检测：

https://www.ssllabs.com/ssltest/

https://hstspreload.org/

更换DNS服务器

将google DNS服务器8.8.8.8更换为Cloudflare DNS 服务器1.1.1.1。

谨慎评论区钓鱼

出现大事件时，评论区经常出现钓鱼链接，已经不是一次两次了。大家一定要谨慎不要因为心慌就去点击，转账。