Electrum Bitcoin BTC người dùng ví đã mất 771 BTC (khoảng 4 triệu đô la) kể từ cuối tháng 12 năm 2018, trong một loạt các cuộc tấn công lừa đảo nhắm mục tiêu đang diễn ra.
Theo nghiên cứu được phát hành bởi Malwarebytes Labs, những kẻ lừa đảo đã có thể lừa người dùng không nghi ngờ tải xuống phiên bản độc hại của ví bằng cách khai thác điểm yếu trong phần mềm.
Trong Tháng hai, Các nhà phát triển đằng sau Electrum đã quyết định khai thác lỗ hổng tương tự trong phần mềm của riêng họ để chuyển hướng người dùng tải xuống phiên bản vá mới nhất.
Sau đó, trong tháng Ba, mọi thứ trở nên tồi tệ hơn và các nhà phát triển bắt đầu khai thác một lỗ hổng không xác định khác, chủ yếu tấn công các khách hàng dễ bị tổn thương để ngăn họ kết nối với các nút xấu, mà họ gọi là một cuộc tấn công truy cập trên mạng.
Sau đó, một botnet ra mắt các cuộc tấn công từ chối dịch vụ phân tán (DDoS) chống lại các máy chủ Electrum để nhắm mục tiêu người dùng tốt hơn với các ví dễ bị lỗi thời.
Tại sao các cuộc tấn công xảy ra?
Được biết đến như một ví Bitcoin Bitcoin nhẹ, các nhà nghiên cứu của Malwarebytes giải thích Electrum thực hiện một biến thể của một kỹ thuật được gọi là ’Đơn giản xác minh thanh toán (SPV).
Kỹ thuật này cho phép người dùng gửi và nhận các giao dịch mà không cần tải xuống một bản sao đầy đủ của blockchain Bitcoin (có kích thước lên tới hàng trăm gigabyte).
Thay vào đó, Electrum hoạt động trong cấu hình máy khách / máy chủ. Ví hoặc ứng dụng khách được lập trình theo mặc định để kết nối với mạng lưới các đồng nghiệp để xác minh rằng các giao dịch là hợp lệ.
Trong khi trước đây, đây là một phương pháp giao dịch khá an toàn, những kẻ tấn công đã lợi dụng thực tế là bất kỳ ai cũng được phép vận hành Electrum công cộng ngang nhau.
Như các bằng chứng biểu đồ dưới đây, đã có sự gia tăng đáng kể số lượng đồng nghiệp hoạt động trên mạng Electrum:
Ví độc hại
Trong các phát hiện của mình, Malwarebytes đề cập đến các ví Electrum độc hại như là Variant 1, và Variant 2. Nghiên cứu cho thấy các diễn viên đằng sau chiến dịch cụ thể này đã hoạt động được một thời gian.
Với suy nghĩ này, các nhà nghiên cứu cho biết, có thể hợp lý rằng các biến thể khác của phần mềm độc hại này đã tồn tại trước ngày 21 tháng 12 năm 2018.
Các biến thể 1 và 2 dường như được vận hành bởi các tác nhân khác nhau, dựa trên một số khác biệt được tìm thấy trong phần mềm độc hại.
Biến thể 1 là duy nhất ở chỗ các tác giả phần mềm độc hại đã triển khai chức năng tải lên các khóa ví bị đánh cắp và dữ liệu hạt giống đến một máy chủ từ xa. Các nỗ lực cũng được thực hiện để đảm bảo chức năng này được ẩn bởi oblàm xáo trộn mã lọc dữ liệu bên trong một tệp không thường thấy trong Electrum có tên làinitmodules.py.
Ngoài ra, bất kỳ số dư nào được tìm thấy trong ví đều được gửi đến một trong một số địa chỉ công cộng được lập trình sẵn do những kẻ lừa đảo kiểm soát. Trong trường hợp này, địa chỉ đích được chọn phụ thuộc vào định dạng địa chỉ được sử dụng bởi người dùng bị nhiễm Ví Electrum.
Các nhà nghiên cứu nhận thấy rằng các địa chỉ Pay-to-PubkeyHash (P2PKH) là phương thức mặc định được sử dụng trong quá trình thiết lập, có nghĩa là người dùng chạy cài đặt mặc định dường như bị ảnh hưởng nhiều nhất. Điều này được chứng minh bằng cách xem xét hoạt động trong từng địa chỉ sau:
Biến thể 2 tấn công mạnh mẽ, kết quả là Các nhà nghiên cứu cho biết, đánh cắp nhiều Bitcoin hơn Biến thể 1.
Thay vì chuyển hướng nạn nhân đến trang web Github độc hại, Variant 2 đã lưu trữ phần mềm độc hại thông qua một tên miền xuất hiện tương tự như trang web tải xuống Electrum hợp pháp.
Các phát hiện chỉ ra rằng những kẻ tấn công dường như đã nắm bắt tốt về Electrum và mã của nó.
Ví dụ, họ đã vô hiệu hóa cập nhật tự động, xóa các lời nhắc cho những thứ như Có Có Tôi chắc chắn, và thậm chí đã lấy đi khả năng thực hiện các giao dịch Thay thế bằng phí (RBF) – một chức năng được thêm vào cơ sở mã Bitcoin sau này trong quá trình phát triển sẽ cho phép tạo ra một giao dịch chi tiêu gấp đôi. Trong trường hợp này, nếu bạn biết về chức năng này (và có lẽ là rất ít), bạn có thể đảo ngược việc chuyển tiền bị đánh cắp bằng cách chi tiêu gấp đôi đầu vào bằng cách sử dụng một khoản phí cao hơn.
Vì vậy, tất cả các đồng tiền đã đi đâu?
Bằng cách phân tích các giao dịch trên blockchain, các nhà nghiên cứu đã phát hiện ra rằng các khoản tiền bị đánh cắp bởi Biến thể 1 đã được chia thành số lượng Bitcoin nhỏ hơn.
Cụ thể, 48,36 BTC ($244.001) được nhóm lại chủ yếu ở mức 3,5 BTC ($17.659) số tiền theo sau là 1,9 BTC ($9,586) lượng.
Các nhà nghiên cứu tin rằng mô hình này có nghĩa là nó có khả năng là bằng chứng của một kỹ thuật rửa tiền được gọi là Lướt sóng.
Điều này là do các khoản tiền gửi 7.000 đô la ít có khả năng kích hoạt một TLB (báo cáo giao dịch tiền tệ) vì số tiền này nằm dưới ngưỡng 10.000 đô la được chỉ định.
Tấn công trong tương lai?
Nhìn chung, các nhà nghiên cứu tại Malwarebytes xác định rằng các cuộc tấn công trong tương lai có khả năng.
Bất cứ ai theo dõi tiền điện tử đều biết rằng họ đang trong một chuyến đi hoang dã. Các tác nhân đe dọa được xác định đã khai thác lỗ hổng trong ví Bitcoin phổ biến nhất để tạo ra một cuộc tấn công lừa đảo rất thông minh có thể kiếm được ít nhất hơn 3 triệu đô la chỉ trong vài tháng, họ nói trong một bài đăng trên blog.
Khi Electrum phản ứng để bảo vệ các nạn nhân không nghi ngờ trước hành vi trộm cắp này, bọn tội phạm đã trả đũa bằng các cuộc tấn công DDoS kéo dài. CúcNhiều khả năng có sự thù địch giữa hai bên, nhưng khi botnet tiếp tục vô hiệu hóa các nút Electrum hợp pháp, những kẻ lừa đảo được thăng cấp để tiếp tục vòng luẩn quẩn đẩy bản cập nhật giả và cướp thêm nạn nhân của tiền điện tử của họ, Lôi tiếp tục các nhà nghiên cứu.
Cuối cùng, những người chạy máy chủ Electrum của riêng họ có thể giảm thiểu các cuộc tấn công theo các cách khác nhau, nhưng thường được khuyên nên cập nhật ví của họ lên phiên bản mới nhất (3.3.4) từ kho chính thức và được yêu cầu duy trì cảnh giác theo cách có nhiều tin nhắn cảnh báo được ngụy trang thành các nỗ lực lừa đảo.
Bạn có biết không? Hard Fork có sân khấu riêng tại TNW2019, hội nghị công nghệ của chúng tôi ở Amsterdam. Kiểm tra nó. eToro cũng sẽ xuất hiện ở đó!
Xuất bản ngày 16 tháng 4 năm 2019 – 15:02 UTC
Nguồn The Next Web