黑客從這家網(wǎng)站偷走30萬(wàn)美元,還給網(wǎng)頁(yè)錢包判了死緩
本周二晚,全網(wǎng)最知名的以太坊錢包查看網(wǎng)站 MyEtherWallet 因?yàn)椴糠值貐^(qū) Google DNS 被劫持,導(dǎo)致大量用戶訪問(wèn)地址后跳轉(zhuǎn)到釣魚(yú)網(wǎng)站,損失超過(guò) 30 萬(wàn)美元的數(shù)字資產(chǎn)。
具體細(xì)節(jié)不多闡述,簡(jiǎn)單來(lái)講就是黑客利用互聯(lián)網(wǎng)運(yùn)營(yíng)商網(wǎng)絡(luò)協(xié)議中一個(gè)存在很久的漏洞干擾了“網(wǎng)站導(dǎo)航員”,導(dǎo)致用戶訪問(wèn) A 網(wǎng)站的時(shí)候跑到 B 網(wǎng)站去了。如果 B 網(wǎng)站是模仿 A 的釣魚(yú)網(wǎng)站的話,那么用戶是很難辨別真假,而在 B 網(wǎng)站上的任何操作都會(huì)被黑客記錄,包括賬號(hào)密碼、上傳的文件、操作行為等。
早在 3 個(gè)月前就曝光過(guò)該安全風(fēng)險(xiǎn)的 Blue Protocol 公司,今天凌晨再次發(fā)出安全預(yù)警,MyEtherWallet 網(wǎng)站的 DNS 劫持依舊持續(xù)中,請(qǐng)不要訪問(wèn)。
針對(duì)這一事件,區(qū)塊律動(dòng) BlockBeats(ID:BlockBeats)與區(qū)塊鏈安全團(tuán)隊(duì) PeckShield、imToken 錢包技術(shù)專家進(jìn)行討論之后,認(rèn)為這次 MyEtherWallet 用戶資產(chǎn)被釣魚(yú)事件主要責(zé)任在用戶和運(yùn)營(yíng)商,用戶和項(xiàng)目方的安全意識(shí)有待提高。
但這次事件也宣布了網(wǎng)頁(yè)錢包工具即將死亡。
MyEtherWallet是一家什么樣的網(wǎng)站?
2017 年進(jìn)入幣圈的用戶對(duì)這家網(wǎng)站應(yīng)該比較熟悉,這是一個(gè)基于網(wǎng)頁(yè)的以太坊錢包生成、查看工具。在錢包類 App 還沒(méi)有流行的時(shí)候,大家要么使用客戶端版的錢包,要么就是使用網(wǎng)頁(yè)版的 MyEtherWallet。
用過(guò)的人都知道,MyEtherWallet 對(duì)于中國(guó)人這種重視使用體驗(yàn)的群體來(lái)講非常不友好。但這并不妨礙 MyEtherWallet 成為第一大以太坊網(wǎng)頁(yè)錢包應(yīng)用。
區(qū)塊律動(dòng) BlockBeats(ID:BlockBeats)發(fā)現(xiàn) MyEtherWallet 的月 PV 在 1400 萬(wàn),用戶量非常大,停留時(shí)間也很長(zhǎng),達(dá)到了 4 分半。
而從 MyEtherWallet 的訪問(wèn)區(qū)域來(lái)看以美國(guó)、俄羅斯、越南、日本為主,這些國(guó)家并沒(méi)有很流行的錢包類 App 供用戶使用,是他們使用網(wǎng)頁(yè)版錢包的主要原因之一。
MyEtherWallet 的訪問(wèn)流量來(lái)源中,有 75% 的流量是直接訪問(wèn),也就是直接在瀏覽器的地址框中輸入或者是點(diǎn)擊瀏覽器的收藏夾進(jìn)行訪問(wèn)。直接訪問(wèn),這很符合 MyEtherWallet 每時(shí)每刻都在提醒用戶的安全指引。
安全公司4個(gè)月前就發(fā)出警告,但是被質(zhì)疑是騙子
今年年初暴漲的讓 MyEtherWallet 團(tuán)隊(duì)容不得任何批評(píng),不愿意承認(rèn)自家的網(wǎng)站存在被 DNS 劫持的風(fēng)險(xiǎn)。
今年 1 月 9 日,去中心化二步驗(yàn)證團(tuán)隊(duì) Blue Protocol 在 Twitter 連續(xù)發(fā)布多個(gè)針對(duì) MyEtherWallet 的 DNS 安全預(yù)警,稱多個(gè)地區(qū)的用戶表示自己訪問(wèn) MyEtherWallet 的時(shí)候會(huì)被導(dǎo)航到假的 MyEtherWallet 網(wǎng)站。
此時(shí)引發(fā)大量討論,MyEtherWallet 團(tuán)隊(duì)對(duì)此回應(yīng)稱“打擊謠言傳播”,并配上雞湯文《陽(yáng)光總在黑暗之后破曉》。
以太坊基金會(huì)的 Hudson Jameson 甚至稱這個(gè)團(tuán)隊(duì)“令人惡心”“傳播謠言來(lái)吸引用戶使用他們的服務(wù)”。
而如今,反駁這個(gè)安全預(yù)警的兩人都被網(wǎng)友啪啪打臉。
為什么 MyEtherWallet 團(tuán)隊(duì)會(huì)如此有信心?或許是因?yàn)楸桓邼q的流量沖昏了頭腦,MyEtherWallet 的網(wǎng)站流量在 1 月份的時(shí)候達(dá)到歷史最高值,使其成為網(wǎng)頁(yè)錢包工具中流量最高的網(wǎng)站。
他們天真地認(rèn)為,存在于傳統(tǒng)互聯(lián)網(wǎng)的黑客套路不可能出現(xiàn)在區(qū)塊鏈上,但卻忘記了即便是區(qū)塊鏈網(wǎng)絡(luò)也需要接入運(yùn)營(yíng)商的網(wǎng)絡(luò),再高級(jí)的技術(shù)也逃不過(guò)降維打擊。
MyEtherWallet 已經(jīng)盡到了告知義務(wù)
每次用戶登陸,頁(yè)面上任何可以放提示信息的地方,都放滿了對(duì)用戶的安全提示信息。幾乎每時(shí)每刻,MyEtherWallet 都在提醒用戶:MyEtherWallet 不是一個(gè)銀行,我們不幫你保存任何資產(chǎn),你要明白區(qū)塊鏈數(shù)字資產(chǎn)的含義,要明白你在這里使用的不是一個(gè)“錢包”,認(rèn)準(zhǔn)我們的網(wǎng)站,記得安裝 metamask 插件,丟了錢是你自己的問(wèn)題。
但是用戶根本不用 metamask,更不懂區(qū)塊鏈上的數(shù)字錢包具體的含義,也不看瀏覽器地址上的綠條條,只關(guān)心自己今天賺了多少錢,虧了多少錢。
然而這些努力在 DNS 劫持面前,失去了意義。
網(wǎng)頁(yè)錢包的死緩
毫無(wú)疑問(wèn),同樣的問(wèn)題已經(jīng)發(fā)生了不止一次,最起碼在 MyEtherWallet 上就已經(jīng)發(fā)生了 2 次。而這種因?yàn)檫\(yùn)營(yíng)商網(wǎng)絡(luò)漏洞而造成的 DNS 劫持還將持續(xù)進(jìn)行,截至發(fā)稿 MyEtherWallet 的 DNS 劫持依舊持續(xù)存在。
MyEtherWallet 團(tuán)隊(duì)發(fā)表聲明,要求用戶在官方確認(rèn)可以使用之前,不要嘗試使用 MyEtherWallet 的網(wǎng)頁(yè)錢包。
對(duì)于這種你永遠(yuǎn)都不知道什么時(shí)候會(huì)發(fā)生、什么時(shí)候會(huì)停止的安全問(wèn)題,一朝被蛇咬十年怕井繩,MyEtherWallet 即便官方聲明已經(jīng)修復(fù)該問(wèn)題,你還敢使用嗎?
安全專家怎么看
對(duì)于 MyEtherWallet 發(fā)生的安全事故,區(qū)塊律動(dòng) BlockBeats(ID:BlockBeats)與安全團(tuán)隊(duì) PeckShield 創(chuàng)始人蔣旭憲和 imToken 團(tuán)隊(duì)的 CSO Blue進(jìn)行了溝通交流。
蔣旭憲表示,對(duì)于區(qū)塊鏈行業(yè),最近發(fā)生的幾期安全事故,能夠有效地引導(dǎo)從業(yè)者提高對(duì)區(qū)塊鏈安全問(wèn)題的認(rèn)知。同時(shí),也有助于提高大眾對(duì)于區(qū)塊鏈數(shù)字資產(chǎn)的爭(zhēng)取認(rèn)識(shí)。
據(jù)了解,已經(jīng)有不少區(qū)塊鏈團(tuán)隊(duì)準(zhǔn)備拿出部分預(yù)算尋找安全團(tuán)隊(duì)或者安全解決方案。imToken 團(tuán)隊(duì)的 CSO Blue 則表示,DNS 劫持不好防范,網(wǎng)頁(yè)錢包收到預(yù)警后應(yīng)當(dāng)向用戶做出安全提示。面對(duì) DNS 劫持,網(wǎng)頁(yè)版錢包沒(méi)有招架之力,經(jīng)歷相關(guān)事件后估計(jì)大家會(huì)對(duì)此比較悲觀。
對(duì)于用戶來(lái)講,冷錢包或者相對(duì)更安全的 App 錢包,是比網(wǎng)頁(yè)錢包更安全的方式。而整個(gè)行業(yè)也需要加強(qiáng)對(duì)用戶的安全教育,普及區(qū)塊鏈數(shù)字資產(chǎn)的安全教育知識(shí),為區(qū)塊鏈安全生態(tài)貢獻(xiàn)力量。
針對(duì)APP開(kāi)發(fā)您可能感興趣
成都app開(kāi)發(fā)公司有哪些
成都APP開(kāi)發(fā)公司介紹家庭食譜APP有哪些功能價(jià)值
成都APP開(kāi)發(fā)公司介紹家庭食譜APP有哪些功能價(jià)值?如今各地都有特色菜,那么想嘗試特色菜卻又不知道在哪里找,每天不知道吃什么,就很讓人犯了難,那么成都APP開(kāi)發(fā)公司考慮到大眾的想......
成都APP開(kāi)發(fā)公司開(kāi)發(fā)APP的誤區(qū)有哪些
成都APP開(kāi)發(fā)公司開(kāi)發(fā)APP的誤區(qū)有哪些?APP看起來(lái)簡(jiǎn)單,但要完成一個(gè)app開(kāi)發(fā)項(xiàng)目,實(shí)則需要很多步驟很復(fù)雜,有些成都APP開(kāi)發(fā)公司在開(kāi)發(fā)APP時(shí),很容易陷入誤區(qū)。1.價(jià)錢越低越好,許多成都AP......
成都APP開(kāi)發(fā)公司開(kāi)發(fā)app需要哪些職位人員
成都APP開(kāi)發(fā)公司開(kāi)發(fā)app需要哪些職位人員?關(guān)于app的開(kāi)發(fā),一定需要團(tuán)隊(duì)的力量,那么成都APP開(kāi)發(fā)公司在開(kāi)發(fā)自己的APP時(shí),需要的專業(yè)app開(kāi)發(fā)團(tuán)隊(duì)必須要哪些人員呢。1.產(chǎn)品經(jīng)理。產(chǎn)品經(jīng)理......
成都APP開(kāi)發(fā)公司開(kāi)發(fā)電影購(gòu)票app需要哪些功能
成都APP開(kāi)發(fā)公司開(kāi)發(fā)電影購(gòu)票app需要哪些功能?近年來(lái),電影業(yè)發(fā)展迅速,喜歡看電影的朋友都會(huì)關(guān)注新電影的上映,成都app開(kāi)發(fā)公司未來(lái)久科技開(kāi)發(fā)電影購(gòu)票APP不僅能觀看電影,還能購(gòu)買......
成都消防APP開(kāi)發(fā)公司包含哪些功能
成都消防APP開(kāi)發(fā)公司包含哪些功能?火災(zāi)事故的風(fēng)險(xiǎn)在日常生活中無(wú)處不在,我們不僅需要知道應(yīng)對(duì)火災(zāi)的知識(shí),還要熟知其對(duì)策,那么對(duì)于不了解這方面知識(shí)的人,未來(lái)久科技成都app制作......
成都APP開(kāi)發(fā)公司開(kāi)發(fā)汽車APP的功能有哪些
成都APP開(kāi)發(fā)公司開(kāi)發(fā)汽車APP的功能有哪些?如今越來(lái)越多的人有自己的汽車,那么傳統(tǒng)的汽車行業(yè)可能不能滿足大眾的需求了,成都app開(kāi)發(fā)公司未來(lái)久科技開(kāi)發(fā)的汽車APP能夠整合數(shù)據(jù)和信息......
成都按摩椅APP開(kāi)發(fā)公司功能模塊有哪些
成都按摩椅APP開(kāi)發(fā)公司功能模塊有哪些?伴隨著共享業(yè)的興起,許多共享產(chǎn)品應(yīng)運(yùn)而生,為整合線下按摩椅資源,緩解生活壓力,為使用者提供了良好的休息環(huán)境,成都app開(kāi)發(fā)公司未來(lái)久科......
成都洗車app開(kāi)發(fā)公司常見(jiàn)功能需求有哪些
成都洗車app開(kāi)發(fā)公司常見(jiàn)功能需求有哪些?伴隨著汽車數(shù)量的逐步增加,許多相關(guān)產(chǎn)業(yè)得到了發(fā)展。清洗汽車是很普遍的,但是洗車排隊(duì)也是常事。成都app開(kāi)發(fā)公司未來(lái)久科技開(kāi)發(fā)洗車APP為......
成都樂(lè)器app開(kāi)發(fā)公司功能需求有哪些
成都樂(lè)器app開(kāi)發(fā)公司功能需求有哪些?很多時(shí)候我們都會(huì)想要玩一玩樂(lè)器,但是又沒(méi)必要專門去報(bào)班或者買些樂(lè)器,在這種情況下,未來(lái)久科技成都app制作公司開(kāi)發(fā)成都樂(lè)器app,讓每一個(gè)人......
成都手機(jī)app開(kāi)發(fā)公司怎么樣
成都未來(lái)久開(kāi)發(fā)手機(jī)app是怎么收費(fèi)
成都未來(lái)久開(kāi)發(fā)手機(jī)app是怎么收費(fèi)? 如今手機(jī)APP軟件應(yīng)用已經(jīng)成功滲透到我們生活中,而需要開(kāi)發(fā)手機(jī)APP的企業(yè)都會(huì)非常關(guān)注這個(gè)問(wèn)題:在成都企業(yè)開(kāi)發(fā)一個(gè)手機(jī)APP到底需要多少錢呢?下......
未來(lái)手機(jī)APP軟件開(kāi)發(fā)的方向是怎么樣的
隨著數(shù)量增加,對(duì)手機(jī)APP軟件開(kāi)發(fā)者來(lái)說(shuō),做到差異化越來(lái)越難。比如在照片分享、購(gòu)物、移動(dòng)聊天、本地活動(dòng)、電影、新聞等手機(jī)APP軟件類別中,無(wú)論手機(jī)APP軟件開(kāi)發(fā)者選擇何種領(lǐng)域,都......
怎么選擇一個(gè)手機(jī)APP開(kāi)發(fā)公司
開(kāi)發(fā)手機(jī)APP是傳統(tǒng)公司進(jìn)行品牌宣傳,拓寬銷售渠道低成本獲取用戶的重要工具。但是現(xiàn)在APP開(kāi)發(fā)市場(chǎng)魚(yú)龍混雜,選錯(cuò)開(kāi)發(fā)公司不僅會(huì)給企業(yè)造成金錢和時(shí)間的損失,還會(huì)影響企業(yè)的發(fā)展進(jìn)......
安卓手機(jī)app開(kāi)發(fā)價(jià)格怎么計(jì)算
網(wǎng)站客服反饋,很多企業(yè)對(duì)“安卓手機(jī)app開(kāi)發(fā)價(jià)格怎么計(jì)算?”這個(gè)問(wèn)題尤為關(guān)注。尤其是一些沒(méi)有找外包公司開(kāi)發(fā)過(guò)APP的客戶,很多一上來(lái)直接就問(wèn)價(jià)格。要知道一個(gè)開(kāi)發(fā)一個(gè)app所需要的人......