駭客挾持BGP,竄改加密錢包DNS,盜走價值1.7萬美元的Ether以太幣

駭客挾持BGP,竄改加密錢包DNS,盜走價值1.7萬美元的以太幣

以太幣(Ether)加密錢包服務MyEtherWallet在世界協調時間(UTC)周二(4/24)上午11點到下午1點(約台灣周二下午7點到9點)遭駭客將流量導至偽造的俄國網站,誘導MyEtherWallet用戶輸入憑證,並成功清空受害用戶的帳號,盜走了價值1.7萬美元的以太幣,初期外界以為這只是尋常的DNS挾持(DNS hijacking),然而,資安專家發現它卻是個攻擊範圍與規模都更大的BGP挾持(BGP hijacking)攻擊。

BGP為Border Gateway Protocol(邊界閘道協定)的簡稱,可藉由IP路由表或字首來實現自治系統(AS)之間的可達性,大多數的ISP業者都必須利用BGP來與其它ISP建立路由連線。因此,所謂的BGP挾持通常得先駭進ISP業者或其它網路架構供應商的BGP伺服器,再散布錯誤的路由資訊以干預流量。

根據資安專家的推測,駭客藉由挾持BGP把Amazon Route 53服務的流量導至駭客所操縱的DNS伺服器,再將造訪MyEtherWallet的用戶導向偽造的網站。

Amazon Route 53為AWS上的DNS服務,一開始外界將矛頭指向Amazon Route 53時,AWS很快就發表聲明,指出不論是AWS或Amazon Route 53都沒有遭到入侵,也未被危害,應是上游的ISP業者被駭,駭客並向其它與該ISP業者串連的網路發布了Route 53 IP位址的子集。

資安研究人員Kevin Beaumont認為,這類攻擊的等級已可存取ISP業者的BGP伺服器與運算資源,MyEtherWallet不太可能是駭客唯一的攻擊目標。

不過,駭客在此一攻擊中的敗筆是未取得有效的SSL憑證,因此當MyEtherWallet用戶造訪假冒的網站時,瀏覽器即會跳出警告訊息,警覺性較高的使用者便得以安然脫身。

至於MyEtherWallet也發表了官方聲明,呼籲使用者在造訪該站時應確認網址的真偽,並使用硬體錢包來儲存加密貨幣。此外,MyEtherWallet也強調若用戶造訪了釣魚網站或遺失了自己的私鑰,該站沒法將資金復原亦不能凍結帳號。

價值435萬元以太幣不見了,知名錢包服務碰上DNS綁架

知名以太坊錢包MyEtherWallet (MEW)部分用戶遭到網域名稱系統(DNS)挾持,時間長達兩小時之久,導致價值15萬美元(約新台幣435萬元)的以太幣消失,目前狀況已經排除,MyEtherWallet強調此次事件並非平台安全出現問題,而是DNS伺服器存有漏洞所致。

2小時,524個以太幣不翼而飛

24日晚間,許多用戶通報MyEtherWallet (MEW)錢包內的以太幣消失,用戶在論壇Reddit上表示,在進入MEW網站時彈出了安全通訊協定(SSL)警告,但沒有多想就略過繼續登入,結果發現錢包中的以太幣被轉到了另一個錢包中,當下才驚覺被騙。

網域名稱系統(domain name system,DNS),功能是協助使用者將網域名稱轉成相對應的IP地址,能讓用戶更方便存取網際網路,白話來說,DNS就是域名跟IP地址的目錄,幾乎所有在網路上的動作都是由DNS請求開始 。

這次事件跟MyEtherWallet(MEW)錢包的安全性無關,平台本身也沒有遭駭,而是DNS伺服器遭到綁架,攻擊者將亞馬遜Route53 DNS重新定向到一個位於俄羅斯的伺服器,藉由這樣的方式竊取用戶的私鑰竊取以太幣,這次DNS伺服器遭綁架時間長達兩個小時,共竊取524個價值約15萬美元的以太幣。

不是系統遭駭,而是DNS被惡意挾持

根據MyEtherWallet說法,大部分受影響的用戶,都是採用Google的8.8.8.8 DNS伺服器,因此建議所有用戶近期都切換成Cloudflare DNS服務器。

MyEtherWallet表示,目前狀況都已排除,並強調這次以太幣錢包受影響,並不是平台安全性問題,而是域名系統(DNS)遭到惡意挾持所致,這次事件也凸顯公共DNS的安全漏洞問題,並提醒會受影響的不僅止於加密貨幣相關服務,任何組織平台也有可能成為目標。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏