Пользователи сообщают о потере биткоинов в результате хитроумного взлома кошельков Electrum

Автор оригинала: Catalin Cimpanu
  • Перевод

Хакер за неделю украл биткоинов на $750 000


Хакер (или хакерская группировка) заработал более 200 биткоинов (примерно $750 000 по курсу на конец 2018) используя хитроумную атаку на инфраструктуру кошелька Electrum.

В результате атаки легитимные приложения для работы с кошельком Electrum демонстрировали на компьютерах пользователей сообщения, призывающие их скачать злонамеренное обновление для программы с неавторизованного репозитория GitHub.

Атака началась 21 декабря и вроде бы прекратилась после того, как администраторы GitHub закрыли репозиторий хакера. Администрация кошелька Electrum ожидает повторения атаки при помощи нового репозитория на GitHub или ссылки на другой сервер для скачивания.

Всё из-за того, что уязвимость, на которой основана атака, остаётся неисправленной, хотя администрация Electrum предпринимает шаги по ослаблению её полезности для атакующего. Атака происходит следующим образом:

  • Атакующий добавляет в сеть кошелька Electrum десятки злонамеренных серверов.
  • Пользователь легитимного кошелька Electrum инициирует перевод биткоинов.
  • Если транзакция связывается с одним из подставных серверов, они возвращают ошибку, которая приглашает пользователя скачать обновление приложения для кошелька со злонамеренного сайта (репозитория GitHub).
  • Пользователь проходит по ссылке и скачивает обновление.
  • Когда пользователь открывает подставное приложение, оно запрашивает код двухфакторной аутентификации. Это сигнал опасности, поскольку эти коды запрашиваются только перед отправкой средств, а не при старте кошелька.
  • Подставной кошелёк использует код для кражи средств пользователя и перевода их на биткоин-адрес атакующего.

Проблема состоит в том, что сервера Electrum позволяют отправлять запрос на всплывающее окно в кошельке пользователя, содержащее произвольный текст. Первые атаки были более эффективными и обманули больше пользователей, чем последующие. Это произошло потому, что кошелёк Electrum демонстрировал текст в формате Rich Text Format, из-за чего всплывающие окна выглядели подлинными и предоставляли пользователям ссылку, по которой можно было просто кликнуть.



Получив сообщение об атаках, команда Electrum молча обновила приложение так, чтобы эти сообщения не демонстрировались в виде RTF.



«Мы не объявляли во всеуслышание об этой атаке до настоящего момента, поскольку после выхода версии 3.3.2 атаки прекратились», — сообщил SomberNight, один из членов команды разработчиков Electrum. «Однако теперь атаки снова начались».

Не всем пользователям, получившим ошибки в новом виде, они показались подозрительными. Некоторые испытывали больше беспокойства, чем озабоченности. Они вручную копировали ссылку из текста во всплывающем окне в браузер, а потом скачивали и устанавливали подставное обновление кошелька.

Атака прекратилась, когда администрация GitHub удалила репозиторий, где содержалась злонамеренная версия кошелька.

Как уже было упомянуто, ожидается волна новых атак, возможно, с новой ссылкой. Но проблема в виде злонамеренных серверов, работающих на атакующего, остаётся актуальной.

Разработчики в данный момент рассматривают возможность заменить отправку серверами сообщений об ошибках на отправку кодов ошибок, которые кошелёк Electrum будет расшифровывать на стороне клиента, показывая заранее заданные сообщения.

SomberNight говорит, что разработчики Electrum на данный момент обнаружили не менее 33 злонамеренных серверов, добавившихся к их сети, а всего их должно быть порядка 40-50. Пока неясно, что они собираются делать с этими серверами.

Похожие публикации

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 26

    –5
    КМК, все кошельки крипты окромя официального, а особенно онлайн (включая биржи) — это не ваш карман.
      0
      а официальный это какой?
        0
        это полную ноду компилировать из официальных репозов и синхронизировать самому
          0

          Уже был взлом репозитория через аккаунт разработчика. Это тоже не вариант, пока разрабы не научатся подписывать код и правильно распространять подписи, а пользователи их проверять.

            0
            какого именно биткоин разраба ломали?)
              0

              Не биткоина, а кого-то из топ-10.

              0
              а в целом — все равно из мастера не стоит ставить в проде — а на релизных ветках все ок, не ставьте сразу после релиза, посмотрите и тогда у себя обновляйте…
                +1

                Там код попал на ноды. Коммент о том, что большинство разрабов даже PGP настроить не могут и коммиты не подписывают (вас это тоже касается).

                  0

                  не поверите, знаю и могу, но гитхаб мой фо фан))) для работы я не коммичу в открытые репы

                    0

                    Могу быть только рад, если ошибся )

                      0
                      сама задумалась тоже после вашего коммента чего это я) просто привычка что все скрыто в подсетях своих серваков и сред развертки, туда сложно зайти даже имея все ключи)
                    0

                    серьезно интересно какой и в какие, я просматриваю основные нескамные периодически

                      0

                      Ввел всех в заблуждение сообщением про топ-10, но коммент уже не поправить поэтому оставлю исправление здесь:


                      Это был проект не из топ-10, а из топ-100 (на момент взлома), называется Syscoin.


                      Тем не менее это не отменяет того факта, что далеко не все разработчики подписывают свои коммиты даже в bitcoin, а значит потенциал для атаки есть.

          +12
          >Хакер (или хакерская группировка) заработал более 200 биткоинов
          не заработал, а украл
            +2
            Если транзакция связывается с одним из подставных серверов, они возвращают ошибку, которая приглашает пользователя скачать обновление приложения для кошелька со злонамеренного сайта (репозитория GitHub).

            То есть GitHub тут не причём, а ссылка может вести на совершенно любой сайт?


            Администрация кошелька Electrum ожидает повторения атаки при помощи нового репозитория на GitHub или ссылки на другой сервер для скачивания.

            И тут GitHub не причём.

              +3
              По моему статье можно бороду прикрепить
                +6
                Отличный фикс уязвимости, поржал. Да еще и на фоне полного молчания, лучше бы свое сообщение с предупреждение большими красными буквами показали.
                  +6
                  Погодите… я может чего-то не понимаю… то есть с кошельков увели 750 тысяч долларов эквивалента битка, а:

                  «Мы не объявляли во всеуслышание об этой атаке до настоящего момента, поскольку после выхода версии 3.3.2 атаки прекратились», — сообщил SomberNight, один из членов команды разработчиков Electrum. «Однако теперь атаки снова начались».

                  И сообщили только когда пошла вторая волна взломов? Они с дуба рухнули? Или я неправильно что-то понял/при переводе закралась ошибка?
                    +2
                    я думаю после первой волны они сами не прочухали как именно ломают, а только ко второму заходу начали что-то подозревать.
                      +3
                      Так какая разница как ломают если деньги утекают… важен факт взлома… вот прикиньте у вас банк, из него начинают пропадать деньги клиентов миллионами и вы никому ничего не сообщаете, а пытаетесь понять как они пропадают.

                      Просто из текста статьи мне стало понятно, что остановить внедрение «диких» серверов разработчики не могут… а блокировать репозитории на гитхабе чтобы остановить взлом, это все равно что заклеить рот в попытках спастись от кашля вместо лечения.
                        0
                        Я бы сказал с банками все немного проще. Многие банки такие потери замалчивают, но возмещают из своего кармана из заранее сформированных фондов, поэтому для пользователя там риски сведены к минимуму. А тут наверняка у конторы нет вообще никаких своих средств, чтобы что-то возмещать пользователям.
                          0
                          Да, собсна… И «конторы»-то нет, по сути. Это сообщество разработчиков, насколько я понял из общения с ними.
                            0
                            С банками проще, потому что они оперируют официальными финансовыми инструментами и могут в ту же полицию обратиться без проблем. С криптовалютами, которые хотят быть «свободными и независимыми» все сложнее, там надо надеяться на добросовестность разработчиков… Но «мешки с костями» (с) как обычно облажались.
                      +2
                      Разработчики кошелька оказались мерзавцами!
                      У них уязвимость в приложении, которое хранить деньги (!!!), а они чтобы не портить репутацию молчали в тряпочку.
                      Найти и хорошенько от… здить.
                        +2
                        *коины надёжны, говорили они…
                          0
                          койны надёжны если знаешь как они работают, использование онлайн кошелька подрывает сами основы биткойн сети, у каждого на устройстве должна быть вся цепочка транзакций иначе это всё равно что с банком работать, вообщем безопасно != удобно, быстро

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое