21.01.2019 07:00
SLY_G 26 9500 Источник

Хакер за неделю украл биткоинов на $750 000


Хакер (или хакерская группировка) заработал более 200 биткоинов (примерно $750 000 по курсу на конец 2018) используя хитроумную атаку на инфраструктуру кошелька Electrum.

В результате атаки легитимные приложения для работы с кошельком Electrum демонстрировали на компьютерах пользователей сообщения, призывающие их скачать злонамеренное обновление для программы с неавторизованного репозитория GitHub.

Атака началась 21 декабря и вроде бы прекратилась после того, как администраторы GitHub закрыли репозиторий хакера. Администрация кошелька Electrum ожидает повторения атаки при помощи нового репозитория на GitHub или ссылки на другой сервер для скачивания.

Всё из-за того, что уязвимость, на которой основана атака, остаётся неисправленной, хотя администрация Electrum предпринимает шаги по ослаблению её полезности для атакующего. Атака происходит следующим образом:

  • Атакующий добавляет в сеть кошелька Electrum десятки злонамеренных серверов.
  • Пользователь легитимного кошелька Electrum инициирует перевод биткоинов.
  • Если транзакция связывается с одним из подставных серверов, они возвращают ошибку, которая приглашает пользователя скачать обновление приложения для кошелька со злонамеренного сайта (репозитория GitHub).
  • Пользователь проходит по ссылке и скачивает обновление.
  • Когда пользователь открывает подставное приложение, оно запрашивает код двухфакторной аутентификации. Это сигнал опасности, поскольку эти коды запрашиваются только перед отправкой средств, а не при старте кошелька.
  • Подставной кошелёк использует код для кражи средств пользователя и перевода их на биткоин-адрес атакующего.

Проблема состоит в том, что сервера Electrum позволяют отправлять запрос на всплывающее окно в кошельке пользователя, содержащее произвольный текст. Первые атаки были более эффективными и обманули больше пользователей, чем последующие. Это произошло потому, что кошелёк Electrum демонстрировал текст в формате Rich Text Format, из-за чего всплывающие окна выглядели подлинными и предоставляли пользователям ссылку, по которой можно было просто кликнуть.



Получив сообщение об атаках, команда Electrum молча обновила приложение так, чтобы эти сообщения не демонстрировались в виде RTF.



«Мы не объявляли во всеуслышание об этой атаке до настоящего момента, поскольку после выхода версии 3.3.2 атаки прекратились», — сообщил SomberNight, один из членов команды разработчиков Electrum. «Однако теперь атаки снова начались».

Не всем пользователям, получившим ошибки в новом виде, они показались подозрительными. Некоторые испытывали больше беспокойства, чем озабоченности. Они вручную копировали ссылку из текста во всплывающем окне в браузер, а потом скачивали и устанавливали подставное обновление кошелька.

Атака прекратилась, когда администрация GitHub удалила репозиторий, где содержалась злонамеренная версия кошелька.

Как уже было упомянуто, ожидается волна новых атак, возможно, с новой ссылкой. Но проблема в виде злонамеренных серверов, работающих на атакующего, остаётся актуальной.

Разработчики в данный момент рассматривают возможность заменить отправку серверами сообщений об ошибках на отправку кодов ошибок, которые кошелёк Electrum будет расшифровывать на стороне клиента, показывая заранее заданные сообщения.

SomberNight говорит, что разработчики Electrum на данный момент обнаружили не менее 33 злонамеренных серверов, добавившихся к их сети, а всего их должно быть порядка 40-50. Пока неясно, что они собираются делать с этими серверами.

Комментарии (26)


  1. DGN
    21.01.2019 11:15
    #19639018

    КМК, все кошельки крипты окромя официального, а особенно онлайн (включая биржи) — это не ваш карман.


    1. site6893
      21.01.2019 11:46
      #19639212

      а официальный это какой?


      1. turtus
        21.01.2019 11:50
        #19639222

        это полную ноду компилировать из официальных репозов и синхронизировать самому


        1. rumkin
          21.01.2019 18:14
          #19640898

          Уже был взлом репозитория через аккаунт разработчика. Это тоже не вариант, пока разрабы не научатся подписывать код и правильно распространять подписи, а пользователи их проверять.


          1. turtus
            21.01.2019 19:57
            #19641206

            какого именно биткоин разраба ломали?)


            1. rumkin
              21.01.2019 20:55
              #19641408

              Не биткоина, а кого-то из топ-10.


          1. turtus
            21.01.2019 20:01
            #19641222

            а в целом — все равно из мастера не стоит ставить в проде — а на релизных ветках все ок, не ставьте сразу после релиза, посмотрите и тогда у себя обновляйте…


            1. rumkin
              21.01.2019 20:59
              #19641436

              Там код попал на ноды. Коммент о том, что большинство разрабов даже PGP настроить не могут и коммиты не подписывают (вас это тоже касается).


              1. turtus
                21.01.2019 23:32
                #19641930

                не поверите, знаю и могу, но гитхаб мой фо фан))) для работы я не коммичу в открытые репы


                1. rumkin
                  22.01.2019 18:30
                  #19645598

                  Могу быть только рад, если ошибся )


                  1. turtus
                    22.01.2019 19:02
                    #19645766

                    сама задумалась тоже после вашего коммента чего это я) просто привычка что все скрыто в подсетях своих серваков и сред развертки, туда сложно зайти даже имея все ключи)


              1. turtus
                21.01.2019 23:33
                #19641934

                серьезно интересно какой и в какие, я просматриваю основные нескамные периодически


                1. rumkin
                  22.01.2019 18:29
                  #19645592

                  Ввел всех в заблуждение сообщением про топ-10, но коммент уже не поправить поэтому оставлю исправление здесь:


                  Это был проект не из топ-10, а из топ-100 (на момент взлома), называется Syscoin.


                  Тем не менее это не отменяет того факта, что далеко не все разработчики подписывают свои коммиты даже в bitcoin, а значит потенциал для атаки есть.


  1. vanyamasnuha
    21.01.2019 11:31
    #19639104

    >Хакер (или хакерская группировка) заработал более 200 биткоинов
    не заработал, а украл


  1. valery1707
    21.01.2019 12:19
    #19639378

    Если транзакция связывается с одним из подставных серверов, они возвращают ошибку, которая приглашает пользователя скачать обновление приложения для кошелька со злонамеренного сайта (репозитория GitHub).

    То есть GitHub тут не причём, а ссылка может вести на совершенно любой сайт?


    Администрация кошелька Electrum ожидает повторения атаки при помощи нового репозитория на GitHub или ссылки на другой сервер для скачивания.

    И тут GitHub не причём.


  1. SLYzhuk
    21.01.2019 12:22
    #19639404

    По моему статье можно бороду прикрепить


  1. IgorKh
    21.01.2019 12:38
    #19639484

    Отличный фикс уязвимости, поржал. Да еще и на фоне полного молчания, лучше бы свое сообщение с предупреждение большими красными буквами показали.


  1. Desavian
    21.01.2019 13:52
    #19639770
    +2

    Погодите… я может чего-то не понимаю… то есть с кошельков увели 750 тысяч долларов эквивалента битка, а:

    «Мы не объявляли во всеуслышание об этой атаке до настоящего момента, поскольку после выхода версии 3.3.2 атаки прекратились», — сообщил SomberNight, один из членов команды разработчиков Electrum. «Однако теперь атаки снова начались».

    И сообщили только когда пошла вторая волна взломов? Они с дуба рухнули? Или я неправильно что-то понял/при переводе закралась ошибка?


    1. site6893
      21.01.2019 15:10
      #19640122
      +1

      я думаю после первой волны они сами не прочухали как именно ломают, а только ко второму заходу начали что-то подозревать.


      1. Desavian
        21.01.2019 17:09
        #19640644
        +1

        Так какая разница как ломают если деньги утекают… важен факт взлома… вот прикиньте у вас банк, из него начинают пропадать деньги клиентов миллионами и вы никому ничего не сообщаете, а пытаетесь понять как они пропадают.

        Просто из текста статьи мне стало понятно, что остановить внедрение «диких» серверов разработчики не могут… а блокировать репозитории на гитхабе чтобы остановить взлом, это все равно что заклеить рот в попытках спастись от кашля вместо лечения.


        1. dzsysop
          21.01.2019 22:37
          #19641754

          Я бы сказал с банками все немного проще. Многие банки такие потери замалчивают, но возмещают из своего кармана из заранее сформированных фондов, поэтому для пользователя там риски сведены к минимуму. А тут наверняка у конторы нет вообще никаких своих средств, чтобы что-то возмещать пользователям.


          1. Psychosynthesis
            21.01.2019 23:52
            #19641974

            Да, собсна… И «конторы»-то нет, по сути. Это сообщество разработчиков, насколько я понял из общения с ними.


          1. Desavian
            22.01.2019 09:58
            #19642750

            С банками проще, потому что они оперируют официальными финансовыми инструментами и могут в ту же полицию обратиться без проблем. С криптовалютами, которые хотят быть «свободными и независимыми» все сложнее, там надо надеяться на добросовестность разработчиков… Но «мешки с костями» (с) как обычно облажались.


  1. Alesha_Ivanov
    22.01.2019 09:12
    #19642608

    Разработчики кошелька оказались мерзавцами!
    У них уязвимость в приложении, которое хранить деньги (!!!), а они чтобы не портить репутацию молчали в тряпочку.
    Найти и хорошенько от… здить.


  1. roscomtheend
    22.01.2019 09:35
    #19642664

    *коины надёжны, говорили они…


    1. jetcar
      22.01.2019 11:25
      #19643104

      койны надёжны если знаешь как они работают, использование онлайн кошелька подрывает сами основы биткойн сети, у каждого на устройстве должна быть вся цепочка транзакций иначе это всё равно что с банком работать, вообщем безопасно != удобно, быстро