Electrum电子钱包再遭攻击，损失达75万美元

在2018年年末，全球范围内流行Electrum电子钱包再次成为针对区块链的黑客组织的目标。

在2018年12月21日，有黑客组织攻击了Electrum比特币钱包，偷走了200多比特币，损失超过75万美元。这次攻击中，黑客主要是利用了2018年初electrum所曝出的一个致命性漏洞（https://securityaffairs.co/wordpress/67591/digital-id/electrum-wallet-flaw.html）。

攻击者可以利用该漏洞可利用虚假的Electrum服务器向用户生成一个弹出窗口。窗口内容为欺骗用户安装一个所谓的“安全更新”。

Electrum比特币钱包并不会下载完整的区块链，而是由远程服务器提供信息。

攻击者首先将恶意服务器添加到Electrum钱包的服务器网络中，并在每次用户试图进行比特币交易时将欺骗消息弹出。黑客们还建立了一个Github页面（https://github.com/spesmilo/electrum/issues/4968），要求用户下载安装名为“安全更新”的恶意软件。

一旦安装完成，恶意软件会提示用户输入双因素验证码，以允许它们接管电子钱包并窃取比特币。

目前，攻击已停止，Github页面也被删除。这次攻击黑客一共使用了33台虚假服务器，但安全专家认为黑客可以在Electrum的开发者彻底解决这个安全漏洞前再次使用类似的攻击技术。

“虽然Electrum的团队还没有制定完整的防御策略，但他们也实施了一些缓解措施，以保护用户的钱包安全。”Hack Read报道。

“他们从富HTML文本中改变了欺骗信息的外观，并且也删除了欺诈信息中的恶意链接。”

网名为sombernight的Electrum开发人员解释说，攻击者在Electrum钱包 发布了3.3.2版本之后又开始攻击。一般的安全更新无法彻底解决此问题，因为完整的修复需要升级整个“联合服务器生态系统”。

“我们之所以现在才公开披露这一[攻击]，是因为大约在3.3.2版本前后，攻击者停止了攻击……但是，他们现在又开始了。”

这不是Electrum第一次被黑客攻击，2018年初，黑客利用Bitmessage客户端的0day漏洞（https://securityaffairs.co/wordpress/69100/hacking/bitmessage-zero-day.html）窃取了Electrum钱包密钥。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/79398/hacking/electrum-wallets-hack.html