2018 年 12 月,我們第一次發現並預警了有攻擊者利用 Electrum 錢包客戶端的訊息缺陷,在使用者轉幣操作時強制彈出“更新提示”,誘導使用者更新下載惡意軟體,進而實施盜幣攻擊。
這種“更新提示”不是 Electrum 官方行為,而是攻擊者利用 Electrum 客戶端和 ElectrumX 伺服器的訊息缺陷發起的釣魚攻擊,攻擊者需要提前部署惡意的 ElectrumX 伺服器,並且這個惡意伺服器被使用者的 Electrum 客戶端納入本地(因為 Electrum 客戶端是輕錢包,使用者需要 ElectrumX 伺服器來廣播交易)。瘋狂時,惡意的 ElectrumX 伺服器佔全部的 71% 之多,據不完全統計,過去一年多,這種釣魚攻擊已經盜取了數百枚比特幣。
雖然在 2019 年初 Electrum 官方就說要採取一些安全機制來杜絕這種“更新釣魚”的發生,比如:
1. 補丁 Electrum 客戶端不顯示豐富的文字,不允許任意訊息,只有嚴格的訊息;
2. 補丁 ElectrumX 伺服器實現檢測 Sybil Attack(即女巫攻擊,傳送釣魚訊息的惡意伺服器),並不再向客戶端廣播它們;
3. 實施黑名單邏輯,在 Electrum 客戶端檢視之外提醒惡意伺服器;
4. 在社交網站、網站和與使用者存在的所有通訊形式上大力宣傳,他們應該始終執行最新版本,並且始終只從官方來源(electrum.org)安裝,透過安全協議(https)訪問,並事先驗證 GPG 簽名。
但許多使用者的 Electrum 還處於老版本狀態(小於 3.3.4),老版本還處於威脅之中。不過,我們不排除新版本也會有相似威脅。
近期,慢霧科技反洗錢(AML)系統透過持續追蹤發現,其中一個攻擊者錢包地址 bc1qcygs9dl4pqw6atc4yqudrzd76p3r9cp6xp2kny 已累計盜取 30 多枚 BTC,作案時間持續半年,並且近期還在活躍。我們在此提醒 Electrum 使用者注意“更新提示”,這種“更新提示”裡的新版本 Electrum 很可能是假的,如果有安裝,請及時在其他安全環境將比特幣轉出。同時我們呼籲廣大加密貨幣交易所、錢包等平臺的 AML 風控系統拉黑並監測如上比特幣地址。
最後,認準 Electrum 官方網址:https://electrum.org/
