LEC:黑客攻擊報告：Electrum早期錢包漏洞導致2500萬美元比特幣被盜_TRU

要點：

據報道，較早版本的Electrum錢包導致了2500萬美元的比特幣被盜。

一份新的調查報告詳細說明了攻擊者如何推送惡意軟件更新。

Electrum目前已更新，可以幫助解決問題，但是較舊的版本容易受到攻擊。

黑客攻擊游戲Runescape漏洞獲取資金以購買比特幣:黑客利用游戲Runescape的漏洞進行雙花攻擊獲取了數萬億的游戲幣，價值超25萬美元，并利用這些資金購買比特幣。據稱，Runescape發行商Jagex已經修補了Runescape的漏洞，但黑客卻仍能對Runescape 3進行類似的雙花攻擊。 對此，一些社區成員建議Jagex考慮采用比特幣或其他加密資產作為他們的游戲貨幣，并利用區塊鏈技術來抵抗雙花攻擊。（Cryptoglobe）[2020/7/13]

圖片來源：Pixabay

動態 | 加拿大斯特拉特福市透露曾為4月的黑客攻擊事件支付10枚比特幣:今年4月14日，加拿大安大略省斯特拉特福市的市政廳網站遭到黑客攻擊，攻擊者在六個物理服務器和兩個虛擬服務器上安裝了惡意軟件。在與攻擊者談判后，該政府網站于4月29日恢復正常。根據該市網站9月19日發布的最新信息，該市當時向攻擊者支付了10枚比特幣，當時價值超過75000美元，以換取解鎖其信息系統的解密密鑰。該市表示已加強其安全措施，以防止再次發生攻擊事件。斯特拉特福和安大略省正在進一步調查此事。（bitcoinsit）[2019/9/21]

在八月和九月，許多被盜事件浮出水面，表明Electrum比特幣軟件錢包的用戶已經被黑客通過舊版本錢包中的漏洞盜取了大量比特幣。

動態 | 黑客攻擊EOS競猜類游戲?已獲利數百EOS ?:Beosin（成都鏈安）預警：今天下午15:27-15:44之間，根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle?Eye檢測發現，黑客co****op向EOS競猜類游戲合約xlo*****io發起連續攻擊，已經獲利數百EOS。經過成都鏈安技術團隊初步分析，攻擊者通過直接調用transfer方式，利用游戲合約邏輯缺陷，多個賬號協同實施攻擊。在此我們建議游戲合約開發者應該重視游戲邏輯嚴謹性及代碼安全性，同時呼吁游戲項目方在項目上鏈前進行完善的代碼安全審計，必要時可借助第三方專業審計團隊的力量防患于未然。[2019/3/6]

一項新的調查詳細說明了這個漏洞盜竊背后的過程以及迄今為止對用戶造成的損害。

根據ZDNet的一項調查，黑客通過該漏洞竊取了價值超過2500萬美元的比特幣，其中1980個比特幣被存放在與攻擊者相關的錢包中。根據2018年12月的報道，早先的攻擊中已經有202BTC被盜。

最大的一次黑客盜取發生在8月下旬，一位比特幣持有人在GitHub上聲稱他在漏洞攻擊中損失了1400個BTC。第二天，由于使用了Electrum，另一位用戶聲稱丟失了36.5BTC。

據報道，自2018年以來，攻擊者一直在使用相同的漏洞盜取用戶資金。根據調查，在使用Electrum的較早版本時，可能會提示用戶更新應用程序，但是此安全更新來自外部攻擊者而非Electrum開發人員。

Electrum的ElectrumX服務器用于與比特幣區塊鏈進行通信，但是錢包應用程序的開放生態系統意味著不良行為者可以啟動自己的網關服務器并等待用戶連接。攻擊者可以從那里設置啟動提示，告訴用戶必須更新應用程序才能發送交易，但會將用戶指向惡意軟件，而不是合法更新。

一旦進行惡意軟件更新，受損的Electrum錢包就會要求用戶提供一次性密碼——如果提供了密碼，則他們的資金將被盜并發送至攻擊者的地址。較新版本的Electrum已實施了修復程序以解決此漏洞，其中包括阻止某些服務器彈出提示以及將服務器列入黑名單，但這些最新報告證明，較早版本的電子錢包更容易受到攻擊者的攻擊。

Electrum開發人員ThomasVoegtlin在八月份對Decrypt表示，該團隊已經意識到網絡釣魚攻擊已有一段時間了，并已通過其網站警告用戶。Voegtlin說：

“警告已經在我們的網站上顯示了18個月。用戶被騙是因為他使用了容易受到網絡釣魚攻擊的舊軟件。”

Voegtlin上個月還在GitHub上發表了評論，并建議任何受影響的用戶向舉報攻擊。“德國和英國正在進行調查。我們已于一年前向警察報告了網絡釣魚襲擊”，并補充說：“我無法對調查進展發表任何評論，但如果受害者獨立報警，將會有所幫助。”

Tags：比特幣TRUCTRLEC比特幣是什么玩意trustwallet官網下載地址factr幣怎么交易electronicmedia

Ethereum