知名以太钱包服务被骇客绑架,损失30万美元之余也被使用者判了

本週二晚,全网最知名的以太坊钱包网站 MyEtherWallet 因为部分地区 Google DNS 被劫持,导致大量使用者访问地址后跳转到钓鱼网站,损失超过 30 万美元的数位资产。

具体细节不多阐述,简单来讲就是骇客利用网际网路运营商网路协议中一个存在很久的漏洞干扰了「网站导航」,导致使用者访问 A 网站的时候跑到 B 网站去了。如果 B 网站是模仿 A 的钓鱼网站的话,那幺使用者是很难辨别真假,而在 B 网站上的任何操作都会被骇客记录,包括账号密码、上传的文件、操作行为等。

早在 3 个月前就曝光过该安全风险的 Blue Protocol 公司,今天凌晨再次发出安全预警,MyEtherWallet 网站的 DNS 劫持依旧持续中,请不要访问。

针对这一事件,区块律动 BlockBeats与区块链安全团队 PeckShield、imToken 钱包技术专家进行讨论之后,认为这次 MyEtherWallet 使用者资产被钓鱼事件主要责任在使用者和运营商,使用者和项目方的安全意识有待提高。

但这次事件也宣布了网页钱包工具即将死亡。

MyEtherWallet 是一家甚幺样的网站?

2017 年进入币圈的使用者对这家网站应该比较熟悉,这是一个基于网页的以太坊钱包生成、查看工具。在钱包类 App 还没有流行的时候,大家要幺使用客户端版的钱包,要幺就是使用网页版的 MyEtherWallet。

用过的人都知道,MyEtherWallet 使用体验非常不友好。但这并不妨碍 MyEtherWallet 成为第一大以太坊网页钱包应用。

知名以太钱包服务被骇客绑架,损失30万美元之余也被使用者判了

区块律动 BlockBeats发现 MyEtherWallet 的月 PV 在 1400 万,使用者量非常大,停留时间也很长,达到了 4 分半。

而从 MyEtherWallet 的访问区域来看以美国、俄罗斯、越南、日本为主,这些国家并没有很流行的钱包类 App 供使用者使用,是他们使用网页版钱包的主要原因之一。

MyEtherWallet 的访问流量来源中,有 75% 的流量是直接访问,也就是直接在浏览器的地址框中输入或者是点击浏览器的收藏夹进行访问。直接访问,这很符合 MyEtherWallet 每时每刻都在提醒使用者的安全指引。

安全公司 4 个月前就发出警告,但是被质疑是骗子

今年年初暴涨的让 MyEtherWallet 团队容不得任何批评,不愿意承认自家的网站存在被 DNS 劫持的风险。

今年 1 月 9 日,去中心化二步验证团队 Blue Protocol 在 Twitter 连续发布多个针对 MyEtherWallet 的 DNS 安全预警,称多个地区的使用者表示自己访问 MyEtherWallet 的时候会被导航到假的 MyEtherWallet 网站。

知名以太钱包服务被骇客绑架,损失30万美元之余也被使用者判了

此时引发大量讨论,MyEtherWallet 团队对此回应称「打击谣言传播」,并配上鸡汤文《阳光总在黑暗之后破晓》。

以太坊基金会的 Hudson Jameson 甚至称这个团队「令人噁心」「传播谣言来吸引使用者使用他们的服务」。

知名以太钱包服务被骇客绑架,损失30万美元之余也被使用者判了

而如今,反驳这个安全预警的两人都被网友啪啪打脸。

为什幺 MyEtherWallet 团队会如此有信心?或许是因为被高涨的流量沖昏了头脑,MyEtherWallet 的网站流量在 1 月份的时候达到历史最高值,使其成为网页钱包工具中流量最高的网站。

他们天真地认为,存在于传统网际网路的骇客套路不可能出现在区块链上,但却忘记了即便是区块鍊网路也需要接入运营商的网路,再高级的技术也逃不过打击。

MyEtherWallet 已经尽到了告知义务

每次使用者登陆,页面上任何可以放提示信息的地方,都放满了对使用者的安全提示信息。几乎每时每刻,MyEtherWallet 都在提醒使用者:MyEtherWallet 不是一个银行,我们不帮你保存任何资产,你要明白区块链数字资产的含义,要明白你在这里使用的不是一个「钱包」,认准我们的网站,记得安装 metamask 插件,丢了钱是你自己的问题。

但是使用者根本不用 metamask,更不懂区块链上的数字钱包具体的含义,也不看浏览器地址上的绿条条,只关心自己今天赚了多少钱,亏了多少钱。

然而这些努力在 DNS 劫持面前,失去了意义。

网页钱包的缓慢死亡

毫无疑问,同样的问题已经发生了不止一次,最起码在 MyEtherWallet 上就已经发生了 2 次。而这种因为运营商网路漏洞而造成的 DNS 劫持还将持续进行,截至发稿 MyEtherWallet 的 DNS 劫持依旧持续存在。

MyEtherWallet 团队发表声明,要求使用者在官方确认可以使用之前,不要尝试使用 MyEtherWallet 的网页钱包。

对于这种你永远都不知道什幺时候会发生、什幺时候会停止的安全问题,一朝被蛇咬十年怕井绳, MyEtherWallet 即便官方声明已经修复该问题,你还敢使用吗?

安全专家怎幺看

对于 MyEtherWallet 发生的安全事故,区块律动 BlockBeats与安全团队 PeckShield 创始人蒋旭宪和 imToken 团队的 CSO Blue 进行了沟通交流。

蒋旭宪表示,对于区块链行业,最近发生的几期安全事故,能够有效地引导从业者提高对区块链安全问题的认知。同时,也有助于提高大众对于区块链数字资产的争取认识。

据了解,已经有不少区块链团队準备拿出部分预算寻找安全团队或者安全解决方案。imToken 团队的 CSO Blue 则表示,DNS 劫持不好防範,网页钱包收到预警后应当向使用者做出安全提示。面对 DNS 劫持,网页版钱包没有招架之力,经历相关事件后估计大家会对此比较悲观。

对于使用者来讲,冷钱包或者相对更安全的 App 钱包,是比网页钱包更安全的方式。而整个产业也需要加强对使用者的安全教育,普及区块链数位资产的安全教育知识,为区块链安全生态贡献力量。