ECT:CertiK：Github用戶1400枚比特幣被盜事件分析_Electronero

有天，你在支付寶操作轉賬時，彈窗提示你因版本過低而導致轉賬失敗。

如果彈窗內不僅僅提示你交易失敗，還附上支付寶更新鏈接，大部分人可能都會順手點擊鏈接進行更新。如果這個鏈接是個釣魚鏈接，直接獲取了你的轉賬權限，那么代表你賬戶內的錢也會被無情轉移。這次，就有一個用戶遭遇了類似的情況。

Certihash與IBM合作開發企業區塊鏈安全工具套件:4月28日消息，Certihash宣布基于美國國家標準與技術研究院（NIST）網絡安全框架開發Sentinel Node項目，這是其五個區塊鏈支持的企業實用程序套件中的第一個項目。

Certihash選擇IBM Consulting來協助軟件設計和開發。作為該項目的一部分，IBM Consulting將使用經過驗證的網絡設計框架，并利用其在向企業提供去中心化應用程序方面的豐富經驗，致力于提供先進的去中心化網絡安全基礎設施。該應用程序的MVP版本計劃于2022年初秋推出。（Finextra）[2022/4/28 2:37:33]

ADAMoracle預言機已通過Certik安全審計:11月16日消息，首個支持廣域節點喂價的去中心化預言機ADAMoracle已通過CertiK的安全審計，CertiK是業內知名的專注于區塊鏈安全審計的機構，使用嚴密且徹底的網絡與軟件安全技術識別安全漏洞，ADAMoracle預言機通過審計代表著在規避安全漏洞上更具技術能力，有效保障了交易的安全性。

ADAMoracle作為實現跨鏈并基于硬件服務器提供喂價服務的廣域節點預言機網絡，其核心功能是鏈接成千上萬的硬件服務器作為喂價節點，構建一個安全、可信、精準、防止女巫攻擊、可自我維護的去中心化預言機網絡，以圖靈智能化取代傳統預言機，是業內首個采用“廣域節點喂價”機制的去中心化預言機。[2021/11/16 21:55:37]

北京時間8月31日，CertiK天網系統(Skynet)檢測到，Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣，已開始被輸送到多個不同的地址當中。受害者在electrum的Githubissue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址.

月亮鼠Smrat已通過CERTIK審計:據官方消息，Smrat已通過CERTIK審計，獲得83分排名73。Dao自治社區投票通過。目前SMRAT持幣地址突破已87000個，用戶可以通過MEME+NFT+持有SMRAT獲得分紅免質押挖礦BNB。同時在今日DAO自治社區上幣投票通過，已通過上線中心化交易所的提議，目前已上線pancakeSwap。

據了解，MoonRat是一個社區驅動的、公平啟動的DeFi項目，建立在幣安智能鏈BSC上。每筆交易中都有三個功能：映射、LP獲取以及銷毀。投資者持有SMRAT就可以賺取BNB。[2021/5/16 22:08:38]

去中心化交易平臺Balancer資產管理規模超過1億美元:6月27日消息，去中心化交易平臺Balancer資產管理規模已超過1億美元。此前報道稱，Balancer治理代幣BAL于6月25日在加密交易所FTX上線。（The Block）[2020/6/27]

在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC從他的錢包中被取出，存入了黑客的錢包中。

事件還原與分析

該用戶使用的是Electrum比特幣錢包，上次使用是在2017年。此后Electrum已經發布了安全更新，但該用戶一直沒有安裝。用戶在使用Electrum進行交易時，錢包會向服務器廣播一筆交易，如果這筆交易出現了問題，服務器將返回錯誤信息并以彈窗的形式展現給用戶。3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證，甚至還會對返回的信息進行html渲染。值得一提的是，任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易，服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息，如下圖所示。

然而，圖中的鏈接指向了攻擊者自己寫的惡意軟件，一旦用戶下載安裝該軟件并把自己的錢包導入其中，錢包里所有的比特幣就會被攻擊者轉走。這其實本質上是一種釣魚攻擊，但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的，很多人都會信以為真。在本次事件中，受害者的錢包連接上了攻擊者所控制的服務器，導致其收到了服務器發出的釣魚信息，進而被攻擊者轉走了自己的所有比特幣。Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。Electrum官方在2019年，錢包版本3.3.4中對該問題進行了修復，后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶，也不會對其進行html渲染。此外，由于舊版本的錢包仍然存在這個問題，因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務攻擊，以強制用戶進行更新。CertiK安全團隊建議

用戶在使用錢包進行交易的時候，需確保錢包為最新版本，已防舊版本的錢包可能存在可被黑客利用的漏洞。用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致，在下載完成后要對錢包的簽名進行驗證。對于錢包開發團隊，需要尋找專業團隊做好測試工作，以免項目出現漏洞給用戶帶來損失。參考鏈接：1.https://github.com/spesmilo/electrum/issues/50722.https://zhuanlan.zhihu.com/p/539206883.https://www.blockchain.com/4.https://github.com/spesmilo/electrum/issues/49685.http://twitter.com/electrumwallet/status/1106479573917724672

Tags：ECTLECTRUELECElectroneroBaby BitBurnReflecttrustwallet官網Electra

火必