黑客從這家網站偷走30萬美元,還給網頁錢包判了死緩
來源:區塊律動(ID:BlockBeats)
作者:0x2
本周二晚,全網最知名的以太坊錢包查看網站 MyEtherWallet 因為部分地區 Google DNS 被劫持,導致大量用戶訪問地址後跳轉到釣魚網站,損失超過 30 萬美元的數字資產。
具體細節不多闡述,簡單來講就是黑客利用互聯網運營商網路協議中一個存在很久的漏洞干擾了「網站導航員」,導致用戶訪問 A 網站的時候跑到 B 網站去了。如果 B 網站是模仿 A 的釣魚網站的話,那麼用戶是很難辨別真假,而在 B 網站上的任何操作都會被黑客記錄,包括賬號密碼、上傳的文件、操作行為等。
早在 3 個月前就曝光過該安全風險的 Blue Protocol 公司,今天凌晨再次發出安全預警,MyEtherWallet 網站的 DNS 劫持依舊持續中,請不要訪問。
針對這一事件,區塊律動 BlockBeats(ID:BlockBeats)與區塊鏈安全團隊 PeckShield、imToken 錢包技術專家進行討論之後,認為這次 MyEtherWallet 用戶資產被釣魚事件主要責任在用戶和運營商,用戶和項目方的安全意識有待提高。
但這次事件也宣布了網頁錢包工具即將死亡。
MyEtherWallet是一家什麼樣的網站?
2017 年進入幣圈的用戶對這家網站應該比較熟悉,這是一個基於網頁的以太坊錢包生成、查看工具。在錢包類 App 還沒有流行的時候,大家要麼使用客戶端版的錢包,要麼就是使用網頁版的 MyEtherWallet。
用過的人都知道,MyEtherWallet 對於中國人這種重視使用體驗的群體來講非常不友好。但這並不妨礙 MyEtherWallet 成為第一大以太坊網頁錢包應用。
區塊律動 BlockBeats(ID:BlockBeats)發現 MyEtherWallet 的月 PV 在 1400 萬,用戶量非常大,停留時間也很長,達到了 4 分半。
而從 MyEtherWallet 的訪問區域來看以美國、俄羅斯、越南、日本為主,這些國家並沒有很流行的錢包類 App 供用戶使用,是他們使用網頁版錢包的主要原因之一。
MyEtherWallet 的訪問流量來源中,有 75% 的流量是直接訪問,也就是直接在瀏覽器的地址框中輸入或者是點擊瀏覽器的收藏夾進行訪問。直接訪問,這很符合 MyEtherWallet 每時每刻都在提醒用戶的安全指引。
安全公司4個月前就發出警告,但是被質疑是騙子
今年年初暴漲的讓 MyEtherWallet 團隊容不得任何批評,不願意承認自家的網站存在被 DNS 劫持的風險。
今年 1 月 9 日,去中心化二步驗證團隊 Blue Protocol 在 Twitter 連續發布多個針對 MyEtherWallet 的 DNS 安全預警,稱多個地區的用戶表示自己訪問 MyEtherWallet 的時候會被導航到假的 MyEtherWallet 網站。
此時引發大量討論,MyEtherWallet 團隊對此回應稱「打擊謠言傳播」,並配上雞湯文《陽光總在黑暗之後破曉》。
以太坊基金會的 Hudson Jameson 甚至稱這個團隊「令人噁心」「傳播謠言來吸引用戶使用他們的服務」。
而如今,反駁這個安全預警的兩人都被網友啪啪打臉。
為什麼 MyEtherWallet 團隊會如此有信心?或許是因為被高漲的流量沖昏了頭腦,MyEtherWallet 的網站流量在 1 月份的時候達到歷史最高值,使其成為網頁錢包工具中流量最高的網站。
他們天真地認為,存在於傳統互聯網的黑客套路不可能出現在區塊鏈上,但卻忘記了即便是區塊鏈網路也需要接入運營商的網路,再高級的技術也逃不過降維打擊。
MyEtherWallet 已經盡到了告知義務
每次用戶登陸,頁面上任何可以放提示信息的地方,都放滿了對用戶的安全提示信息。幾乎每時每刻,MyEtherWallet 都在提醒用戶:MyEtherWallet 不是一個銀行,我們不幫你保存任何資產,你要明白區塊鏈數字資產的含義,要明白你在這裡使用的不是一個「錢包」,認準我們的網站,記得安裝 metamask 插件,丟了錢是你自己的問題。
但是用戶根本不用 metamask,更不懂區塊鏈上的數字錢包具體的含義,也不看瀏覽器地址上的綠條條,只關心自己今天賺了多少錢,虧了多少錢。
然而這些努力在 DNS 劫持面前,失去了意義。
網頁錢包的死緩
毫無疑問,同樣的問題已經發生了不止一次,最起碼在 MyEtherWallet 上就已經發生了 2 次。而這種因為運營商網路漏洞而造成的 DNS 劫持還將持續進行,截至發稿 MyEtherWallet 的 DNS 劫持依舊持續存在。
MyEtherWallet 團隊發表聲明,要求用戶在官方確認可以使用之前,不要嘗試使用 MyEtherWallet 的網頁錢包。
對於這種你永遠都不知道什麼時候會發生、什麼時候會停止的安全問題,一朝被蛇咬十年怕井繩,MyEtherWallet 即便官方聲明已經修復該問題,你還敢使用嗎?
安全專家怎麼看
對於 MyEtherWallet 發生的安全事故,區塊律動 BlockBeats(ID:BlockBeats)與安全團隊 PeckShield 創始人蔣旭憲和 imToken 團隊的 CSO Blue進行了溝通交流。
蔣旭憲表示,對於區塊鏈行業,最近發生的幾期安全事故,能夠有效地引導從業者提高對區塊鏈安全問題的認知。同時,也有助於提高大眾對於區塊鏈數字資產的爭取認識。
據了解,已經有不少區塊鏈團隊準備拿出部分預算尋找安全團隊或者安全解決方案。imToken 團隊的 CSO Blue 則表示,DNS 劫持不好防範,網頁錢包收到預警後應當向用戶做出安全提示。面對 DNS 劫持,網頁版錢包沒有招架之力,經歷相關事件後估計大家會對此比較悲觀。
對於用戶來講,冷錢包或者相對更安全的 App 錢包,是比網頁錢包更安全的方式。而整個行業也需要加強對用戶的安全教育,普及區塊鏈數字資產的安全教育知識,為區塊鏈安全生態貢獻力量。
※咖啡新零售品牌 luckin coffee,如何做到5個月成爆品?
※卸 「賈」之後,孫宏斌依舊危機四伏
TAG:虎嗅APP |