首页 > 行业动态
行业动态

黑客从这家网站偷走30万美元,还给网页钱包判了死缓

本周二晚,全网最知名的以太坊钱包查看网站 MyEtherWallet 因为部分地区 Google DNS 被劫持,导致大量用户访问地址后跳转到钓鱼网站,损失超过 30 万美元的数字资产。

具体细节不多阐述,简单来讲就是黑客利用互联网运营商网络协议中一个存在很久的漏洞干扰了“网站导航员”,导致用户访问 A 网站的时候跑到 B 网站去了。如果 B 网站是模仿 A 的钓鱼网站的话,那么用户是很难辨别真假,而在 B 网站上的任何操作都会被黑客记录,包括账号密码、上传的文件、操作行为等。

早在 3 个月前就曝光过该安全风险的 Blue Protocol 公司,今天凌晨再次发出安全预警,MyEtherWallet 网站的 DNS 劫持依旧持续中,请不要访问。

针对这一事件,区块律动 BlockBeats(ID:BlockBeats)与区块链安全团队 PeckShield、imToken 钱包技术专家进行讨论之后,认为这次 MyEtherWallet 用户资产被钓鱼事件主要责任在用户和运营商,用户和项目方的安全意识有待提高。

但这次事件也宣布了网页钱包工具即将死亡。

MyEtherWallet是一家什么样的网站?

2017 年进入币圈的用户对这家网站应该比较熟悉,这是一个基于网页的以太坊钱包生成、查看工具。在钱包类 App 还没有流行的时候,大家要么使用客户端版的钱包,要么就是使用网页版的 MyEtherWallet。

用过的人都知道,MyEtherWallet 对于中国人这种重视使用体验的群体来讲非常不友好。但这并不妨碍 MyEtherWallet 成为第一大以太坊网页钱包应用。

区块律动 BlockBeats(ID:BlockBeats)发现 MyEtherWallet 的月 PV 在 1400 万,用户量非常大,停留时间也很长,达到了 4 分半。

而从 MyEtherWallet 的访问区域来看以美国、俄罗斯、越南、日本为主,这些国家并没有很流行的钱包类 App 供用户使用,是他们使用网页版钱包的主要原因之一。

MyEtherWallet 的访问流量来源中,有 75% 的流量是直接访问,也就是直接在浏览器的地址框中输入或者是点击浏览器的收藏夹进行访问。直接访问,这很符合 MyEtherWallet 每时每刻都在提醒用户的安全指引。

安全公司4个月前就发出警告,但是被质疑是骗子

今年年初暴涨的让 MyEtherWallet 团队容不得任何批评,不愿意承认自家的网站存在被 DNS 劫持的风险。

今年 1 月 9 日,去中心化二步验证团队 Blue Protocol 在 Twitter 连续发布多个针对 MyEtherWallet 的 DNS 安全预警,称多个地区的用户表示自己访问 MyEtherWallet 的时候会被导航到假的 MyEtherWallet 网站。

此时引发大量讨论,MyEtherWallet 团队对此回应称“打击谣言传播”,并配上鸡汤文《阳光总在黑暗之后破晓》。

以太坊基金会的 Hudson Jameson 甚至称这个团队“令人恶心”“传播谣言来吸引用户使用他们的服务”。

而如今,反驳这个安全预警的两人都被网友啪啪打脸。

为什么 MyEtherWallet 团队会如此有信心?或许是因为被高涨的流量冲昏了头脑,MyEtherWallet 的网站流量在 1 月份的时候达到历史最高值,使其成为网页钱包工具中流量最高的网站。

他们天真地认为,存在于传统互联网的黑客套路不可能出现在区块链上,但却忘记了即便是区块链网络也需要接入运营商的网络,再高级的技术也逃不过降维打击。

MyEtherWallet 已经尽到了告知义务

每次用户登陆,页面上任何可以放提示信息的地方,都放满了对用户的安全提示信息。几乎每时每刻,MyEtherWallet 都在提醒用户:MyEtherWallet 不是一个银行,我们不帮你保存任何资产,你要明白区块链数字资产的含义,要明白你在这里使用的不是一个“钱包”,认准我们的网站,记得安装 metamask 插件,丢了钱是你自己的问题。

但是用户根本不用 metamask,更不懂区块链上的数字钱包具体的含义,也不看浏览器地址上的绿条条,只关心自己今天赚了多少钱,亏了多少钱。

然而这些努力在 DNS 劫持面前,失去了意义。

网页钱包的死缓

毫无疑问,同样的问题已经发生了不止一次,最起码在 MyEtherWallet 上就已经发生了 2 次。而这种因为运营商网络漏洞而造成的 DNS 劫持还将持续进行,截至发稿 MyEtherWallet 的 DNS 劫持依旧持续存在。

MyEtherWallet 团队发表声明,要求用户在官方确认可以使用之前,不要尝试使用 MyEtherWallet 的网页钱包。

对于这种你永远都不知道什么时候会发生、什么时候会停止的安全问题,一朝被蛇咬十年怕井绳,MyEtherWallet 即便官方声明已经修复该问题,你还敢使用吗?

安全专家怎么看

对于 MyEtherWallet 发生的安全事故,区块律动 BlockBeats(ID:BlockBeats)与安全团队 PeckShield 创始人蒋旭宪和 imToken 团队的 CSO Blue进行了沟通交流。

蒋旭宪表示,对于区块链行业,最近发生的几期安全事故,能够有效地引导从业者提高对区块链安全问题的认知。同时,也有助于提高大众对于区块链数字资产的争取认识。

据了解,已经有不少区块链团队准备拿出部分预算寻找安全团队或者安全解决方案。imToken 团队的 CSO Blue 则表示,DNS 劫持不好防范,网页钱包收到预警后应当向用户做出安全提示。面对 DNS 劫持,网页版钱包没有招架之力,经历相关事件后估计大家会对此比较悲观。

对于用户来讲,冷钱包或者相对更安全的 App 钱包,是比网页钱包更安全的方式。而整个行业也需要加强对用户的安全教育,普及区块链数字资产的安全教育知识,为区块链安全生态贡献力量