黑客從這家網站偷走30萬美元,還給網頁錢包判了死緩

本周二晚,全網最知名的以太坊錢包查看網站 MyEtherWallet 因為部分地區 Google DNS 被劫持,導致大量用戶訪問地址后跳轉到釣魚網站,損失超過 30 萬美元的數字資產。


具體細節不多闡述,簡單來講就是黑客利用互聯網運營商網絡協議中一個存在很久的漏洞干擾了“網站導航員”,導致用戶訪問 A 網站的時候跑到 B 網站去了。如果 B 網站是模仿 A 的釣魚網站的話,那么用戶是很難辨別真假,而在 B 網站上的任何操作都會被黑客記錄,包括賬號密碼、上傳的文件、操作行為等。


早在 3 個月前就曝光過該安全風險的 Blue Protocol 公司,今天凌晨再次發出安全預警,MyEtherWallet 網站的 DNS 劫持依舊持續中,請不要訪問。


針對這一事件,區塊律動 BlockBeats(ID:BlockBeats)與區塊鏈安全團隊 PeckShield、imToken 錢包技術專家進行討論之后,認為這次 MyEtherWallet 用戶資產被釣魚事件主要責任在用戶和運營商,用戶和項目方的安全意識有待提高。


但這次事件也宣布了網頁錢包工具即將死亡。


MyEtherWallet是一家什么樣的網站?


2017 年進入幣圈的用戶對這家網站應該比較熟悉,這是一個基于網頁的以太坊錢包生成、查看工具。在錢包類 App 還沒有流行的時候,大家要么使用客戶端版的錢包,要么就是使用網頁版的 MyEtherWallet。


用過的人都知道,MyEtherWallet 對于中國人這種重視使用體驗的群體來講非常不友好。但這并不妨礙 MyEtherWallet 成為第一大以太坊網頁錢包應用。



區塊律動 BlockBeats(ID:BlockBeats)發現 MyEtherWallet 的月 PV 在 1400 萬,用戶量非常大,停留時間也很長,達到了 4 分半。



而從 MyEtherWallet 的訪問區域來看以美國、俄羅斯、越南、日本為主,這些國家并沒有很流行的錢包類 App 供用戶使用,是他們使用網頁版錢包的主要原因之一。



MyEtherWallet 的訪問流量來源中,有 75% 的流量是直接訪問,也就是直接在瀏覽器的地址框中輸入或者是點擊瀏覽器的收藏夾進行訪問。直接訪問,這很符合 MyEtherWallet 每時每刻都在提醒用戶的安全指引。


安全公司4個月前就發出警告,但是被質疑是騙子


今年年初暴漲的讓 MyEtherWallet 團隊容不得任何批評,不愿意承認自家的網站存在被 DNS 劫持的風險。


今年 1 月 9 日,去中心化二步驗證團隊 Blue Protocol 在 Twitter 連續發布多個針對 MyEtherWallet 的 DNS 安全預警,稱多個地區的用戶表示自己訪問 MyEtherWallet 的時候會被導航到假的 MyEtherWallet 網站。



此時引發大量討論,MyEtherWallet 團隊對此回應稱“打擊謠言傳播”,并配上雞湯文《陽光總在黑暗之后破曉》。


以太坊基金會的 Hudson Jameson 甚至稱這個團隊“令人惡心”“傳播謠言來吸引用戶使用他們的服務”。


而如今,反駁這個安全預警的兩人都被網友啪啪打臉。


為什么 MyEtherWallet 團隊會如此有信心?或許是因為被高漲的流量沖昏了頭腦,MyEtherWallet 的網站流量在 1 月份的時候達到歷史最高值,使其成為網頁錢包工具中流量最高的網站。


他們天真地認為,存在于傳統互聯網的黑客套路不可能出現在區塊鏈上,但卻忘記了即便是區塊鏈網絡也需要接入運營商的網絡,再高級的技術也逃不過降維打擊。


MyEtherWallet 已經盡到了告知義務


每次用戶登陸,頁面上任何可以放提示信息的地方,都放滿了對用戶的安全提示信息。幾乎每時每刻,MyEtherWallet 都在提醒用戶:MyEtherWallet 不是一個銀行,我們不幫你保存任何資產,你要明白區塊鏈數字資產的含義,要明白你在這里使用的不是一個“錢包”,認準我們的網站,記得安裝 metamask 插件,丟了錢是你自己的問題。


但是用戶根本不用 metamask,更不懂區塊鏈上的數字錢包具體的含義,也不看瀏覽器地址上的綠條條,只關心自己今天賺了多少錢,虧了多少錢。


然而這些努力在 DNS 劫持面前,失去了意義。


網頁錢包的死緩


毫無疑問,同樣的問題已經發生了不止一次,最起碼在 MyEtherWallet 上就已經發生了 2 次。而這種因為運營商網絡漏洞而造成的 DNS 劫持還將持續進行,截至發稿 MyEtherWallet 的 DNS 劫持依舊持續存在。


MyEtherWallet 團隊發表聲明,要求用戶在官方確認可以使用之前,不要嘗試使用 MyEtherWallet 的網頁錢包。


對于這種你永遠都不知道什么時候會發生、什么時候會停止的安全問題,一朝被蛇咬十年怕井繩,MyEtherWallet 即便官方聲明已經修復該問題,你還敢使用嗎?


安全專家怎么看


對于 MyEtherWallet 發生的安全事故,區塊律動 BlockBeats(ID:BlockBeats)與安全團隊 PeckShield 創始人蔣旭憲和 imToken 團隊的 CSO Blue進行了溝通交流。


蔣旭憲表示,對于區塊鏈行業,最近發生的幾期安全事故,能夠有效地引導從業者提高對區塊鏈安全問題的認知。同時,也有助于提高大眾對于區塊鏈數字資產的爭取認識。


據了解,已經有不少區塊鏈團隊準備拿出部分預算尋找安全團隊或者安全解決方案。imToken 團隊的 CSO Blue 則表示,DNS 劫持不好防范,網頁錢包收到預警后應當向用戶做出安全提示。面對 DNS 劫持,網頁版錢包沒有招架之力,經歷相關事件后估計大家會對此比較悲觀。


對于用戶來講,冷錢包或者相對更安全的 App 錢包,是比網頁錢包更安全的方式。而整個行業也需要加強對用戶的安全教育,普及區塊鏈數字資產的安全教育知識,為區塊鏈安全生態貢獻力量。

上一篇: 這兒有一份全球AI擴張路線圖:百度早于谷歌,騰訊燒錢最多
下一篇: 做區塊鏈有那么掙錢么?

針對APP開發您可能感興趣

成都app開發公司哪家經驗最多
成都app開發公司哪家經驗最多
成都哪家APP開發公司綜合能力與整體實力最強
成都哪家APP開發公司綜合能力與整體實力最強
成都知名開發app公司有哪些
成都知名開發app公司有哪些
app軟件開發公司哪家好
app軟件開發公司哪家好
成都開發app的公司哪家好
成都開發app的公司哪家好
怎么選擇一個手機APP開發公司
怎么選擇一個手機APP開發公司
成都未來久APP開發公司開發APP標準流程
成都未來久APP開發公司開發APP標準流程
一家好的app開發公司該怎么選擇
一家好的app開發公司該怎么選擇
成都app開發專業公司重要嗎
成都app開發專業公司重要嗎

app開發公司哪家好

未來久開發成都便民生活APP有哪些好處

成都app開發公司哪家好

成都茶葉app開發找誰好

一家好的app開發公司該怎么選擇

app開發公司哪家好?

四川成都哪家做手機app開發定制外包好

成都app開發哪家好

開發移動app軟件公司哪家好

開發app的公司哪家好

app開發外包有哪些好處

app開發需要多少錢

找外包開發這樣一個APP大概要多少錢

成都做一個APP需要多少錢

黑客從這家網站偷走30萬美元,還給網頁錢包判了死緩

成都APP開發:APP開發需要多少錢

在成都開發一款智能app軟件需要多少錢

成都開發app需要多少錢

在成都開發一個APP需要多少錢

成都app開發公司需要多少錢

開發一個app多少錢

成都開發手機app需要多少錢

app開發公司怎么樣

成都怎么開發app軟件

APP的未來開發方向怎么定位

成都的APP開發公司是怎么收費

一家好的app開發公司該怎么選擇

怎么開發app

怎么找一家靠譜的成都app開發公司?

怎么開發APP軟件

未來手機APP軟件開發的方向是怎么樣的

在成都怎么選擇專業的app開發公司

app開發公司怎么報價

立刻咨詢
獲取方案/報價

1對1專家顧問

7x24咨詢熱線

173-1307-7569
400-0770-569

 在線咨詢

添加客服微信
馬上獲取方案/報價

极速11选5软件 快乐斗牛棋牌 腾讯 腾讯分分彩 30选5中奖奖金 下载炒股软件 体育彩票竞猜 炒股的平台 网上棋牌评测网 甘肃快3开奖号码今天 免费精准资料期期精准 南京麻将秘籍