Brugere rapporterer at miste Bitcoin i et smart hack af Electrum-punge

En hacker (eller hackergruppe) har lavet over 200 Bitcoin (ca. $750.000 ved dagens børs) ved hjælp af et smart angreb på infrastrukturen i Electrum Bitcoin-pungen.

Angrebet resulterede i, at legitime Electrum wallet-apps viste en besked på brugernes computere, der opfordrede dem til at downloade en ondsindet tegnebogsopdatering fra et uautoriseret GitHub-lager.

Angrebet begyndte i sidste uge fredag ​​den 21. december og ser ud til at være blevet midlertidigt stoppet tidligere i dag, efter at GitHub-administratorer fjernede hackerens GitHub-lager.

Administratorer af Electrum-pungen forventer, at et nyt angreb snart kommer i gang, med enten en ny GitHub-repo eller et link til en anden downloadplacering helt.

Dette skyldes, at sårbarheden i hjertet af dette angreb er forblevet uoprettet, selvom Electrum wallet-administratorer tager skridt til at mindske dets anvendelighed for angriberen.

Sådan fungerer angrebet:

• Angriberen tilføjede snesevis af ondsindede servere til Electrum wallet-netværket.
• Brugere af legitime Electrum-punge indleder en Bitcoin-transaktion.
• Hvis transaktionen når en af ​​de ondsindede servere, svarer disse servere med en fejlmeddelelse, der opfordrer brugerne til at downloade en wallet-appopdatering fra et ondsindet websted (GitHub-repo).
• Brugeren klikker på linket og downloader ondsindet opdatering.
• Når brugeren åbner den ondsindede Electrum-pung, beder appen brugeren om en to-faktor-godkendelseskode (2FA). Dette er et rødt flag, da disse 2FA-koder kun anmodes om, før du sender penge, og ikke ved opstart af tegnebogen.
• Den ondsindede Electrum-pung bruger 2FA-koden til at stjæle brugerens penge og overføre dem til angriberens Bitcoin-adresser.

Problemet her er, at Electrum-servere har lov til at udløse popups med tilpasset tekst inde i brugernes tegnebøger.

De første angreb var mere effektive og så ud til at have narret flere brugere på grund af end sidstnævnte angreb. Dette skyldes, at Electrum-pungen gengivede disse serverbeskeder som rig-formaterede tekster, hvilket fik popup-vinduerne til at se mere autentiske ud og gav et klar og klikbart link til brugerne.

Efter at have modtaget nyheder om angreb, svarede Electrum-teamet ved lydløst at opdatere Electrum wallet-appen, så disse meddelelser ikke længere gengives som rig HTML-tekst.

"Vi har ikke offentliggjort dette [angreb] før nu, da angriberen stoppede omkring tidspunktet for udgivelsen af ​​3.3.2." sagde SomberNight, en udviklerdel af Electrum wallet-teamet. "Men de startede nu angrebet igen."

Ikke alle brugere, der modtog disse nye fejl, fandt ikke den mystiske popup med forskruet tekst uhyggelig. Nogle brugere var mere generet end advaret. Disse brugere manuelt copy-pasted tekstlinket vist inde i pop op-vinduet til deres browser, og downloadede og installerede derefter den plettede Electrum wallet-opdatering.

Angrebet stoppede for et par timer siden, da GitHub admin fjernet lageret, der indeholder den ondsindede tegnebogsversion.

Som tidligere nævnt forventes der at komme nye angreb i gang, med muligvis et nyt downloadlink. Men problemet her er fortsat angriberens ondsindede servere.

Udviklere overvejer i øjeblikket at erstatte muligheden for at sende tilpassede fejlmeddelelser med fejl koder, som Electrum tegnebogen derefter ville afkode på klientsiden og vise en forudindstillet besked i stedet.

SomberNight siger, at Electrum-udviklere i øjeblikket har identificeret mindst 33 ondsindede Electrum-servere, der er blevet tilføjet til deres netværk, men antallet ser ud til at være omkring 40-50. Det er uklart, hvad udviklerne agter at gøre med hensyn til disse servere på nuværende tidspunkt.