近来比特币钱包Electrum社群很不安宁,先是Electrum用户在去年底成为黑客的攻击目标,黑客借由伪造的更新,于Electrum钱包中植入恶意程序以窃取比特币,随之Electrum开发者展开反击,采用拒绝服务攻击(DoS)以避免用户连接恶意节点,但黑客却发动大规模的分布式拒绝服务攻击(DDoS)回敬Electrum服务器,根据安全企业Malwarebytes Labs的估计,黑客用来发动攻击的僵尸数量已超过15万台。
持续观察该事件的Malwarebytes Labs指出,Electrum钱包用户是在去年12月成为黑客的目标。Electrum定位为轻量级的比特币钱包,采用客户端/服务器端的配置,客户端程序会连至一个对等网络(P2P网络)来验证交易。
黑客利用Electrum允许任何人操作公开Electrum节点的特性,发动了“女巫攻击”(Sybil Attack),在Electrum网络中设置了许多恶意节点,当Electrum用户打算进行交易却连接到这些恶意节点时,它会先阻止交易,并要求用户安装更新,但用户所安装的却是含有可用来窃取Electrum钱包内之比特币的恶意程序。
黑客为此设计了两款恶意程序,其中的一款成功盗走218.2个比特币,另一款则取走了637.7个比特币,总价值超过450万美元。
当Electrum开发者发现黑客的行径之后,于去年底公开警告Electrum用户,之后在今年3月展开反击,他们先是利用了类似黑客所开采的漏洞,在用户打算交易时送出合法的更新通知,在发现成效不高之后决定采用更积进的手段,针对Electrum用户发动拒绝服务攻击,以避免他们连接至伪造的节点。
然而,被激怒的黑客马上回敬了Electrum开发人员,通过僵尸网络锁定各个Electrum服务器发动分布式拒绝服务攻击,该僵尸网络企图关闭合法的Electrum网络节点,以让Electrum用户不得不连至恶意节点,进而成为受害者。
Malwarebytes Labs表示,黑客所利用的僵尸网络最高峰时有超过15万台机器参与,平常的数量也维持在10万台左右。这些僵尸设备所感染的恶意程序为大多位于亚太地区,也有不少来自巴西及秘鲁。
迄今黑客仍未停止攻击Electrum钱包用户,Electrum开发者则建议用户通过官方的存储库更新到Electrum Wallet 3.3.4,也请用户留意各种更新或警告消息,因为它们很可能是伪造的网络钓鱼消息。