Githubユーザーから1,400ビットコインが盗まれた事件の分析

ある日、Alipay で送金しようとしたところ、バージョンが低すぎるため送金に失敗したというポップアップ ウィンドウが表示されました。

ポップアップ ウィンドウに取引が失敗したことが通知されるだけでなく、Alipay 更新リンクも提供される場合、ほとんどの人はリンクをクリックして更新するでしょう。

このリンクがフィッシングリンクであり、あなたの送金許可を直接取得した場合、あなたのアカウントのお金も容赦なく送金されることになります。

今回、あるユーザーが同様の状況に遭遇しました。

北京時間8月31日、CertiK Skynetは、Githubユーザー「1400BitcoinStolen」から盗まれた1,400ビットコインのトークンが複数の異なるアドレスに転送され始めたことを検出しました。

被害者は、Electrum Github の問題で 1,400 ビットコインが失われたと説明し、ビットコイン ウォレットのアドレスを投稿しました。

ブロックチェーンブラウザ（参照リンク3）では、8月30日に合計1,404 BTC（1,670万ドル相当）が彼のウォレットから引き出され、ハッカーのウォレットに入金されたことがわかります。

イベントの復元と分析

ユーザーはElectrum Bitcoinウォレットを使用していましたが、これは2017年に最後に使用されました。Electrumはその後セキュリティアップデートをリリースしましたが、ユーザーはそれをインストールしていません。

ユーザーがElectrumを使用してトランザクションを実行すると、ウォレットはトランザクションをサーバーにブロードキャストします。トランザクションに問題がある場合、サーバーはエラー メッセージを返し、ポップアップ ウィンドウの形式でユーザーに表示します。

バージョン 3.3.2 より前の Electrum ウォレットでは、サーバーから返されたエラー情報が検証されず、返された情報が HTML としてレンダリングされます (参照リンク 4)。

誰でも Electrum ノード サーバーを構築できることは注目に値します。ユーザーが攻撃者のサーバーに接続してトランザクションを開始すると、サーバーは任意のエラー メッセージを返すことができます。たとえば、下の図に示すように、ユーザーに Electrum ウォレットを更新するように求めるエラー メッセージが返されます。

しかし、画像内のリンクは攻撃者自身が作成したマルウェアを指しています。ユーザーがソフトウェアをダウンロードしてインストールし、ウォレットをインポートすると、ウォレット内のすべてのビットコインが攻撃者によって転送されます。

これは本質的にはフィッシング攻撃ですが、攻撃者が送信したフィッシング情報はElectrum公式ウォレットを通じて表示されるため、多くの人がそれを信じてしまうでしょう。

この事件では、被害者のウォレットが攻撃者が管理するサーバーに接続され、サーバーからフィッシングメッセージを受信し、その後、攻撃者は被害者のビットコインをすべて転送しました。

Electrumウォレットに関するこの問題は、2018年末にはすでに広く議論されていました（参照リンク4）。

Electrum は、2019 年にウォレット バージョン 3.3.4 でこの問題を正式に修正しました。Electrum ウォレットの以降のバージョンでは、サーバーから返されたコンテンツがユーザーに直接表示されなくなり、HTML でレンダリングされることもなくなります。

さらに、古いバージョンのウォレットでは依然としてこの問題が残っているため、すべての通常のサーバーはバージョン 3.3 より前のウォレットに対してサービス拒否 (DoS) 攻撃を開始し、ユーザーに強制的にアップデートを強いることになります (参照リンク 5)。

CertiK セキュリティ チームの推奨事項

ウォレットを使用して取引を行う場合、古いバージョンのウォレットにはハッカーに悪用される可能性のある脆弱性がある可能性があるため、ユーザーはウォレットが最新バージョンであることを確認する必要があります。

ウォレットのアップデートをダウンロードする際、ユーザーはダウンロード URL が公式のものと一致しているかどうかを確認し、ダウンロードが完了したらウォレットの署名を確認する必要があります。

ウォレット開発チームにとっては、プロジェクトの抜け穴によってユーザーに損失が生じないように、テスト作業を行う専門チームを見つける必要があります。 （中国語検定）