国际老牌交易所遭黑客钓鱼,部分用户的比特币被盗取
在 2012 年就已成立,在国际上十分知名的虚拟货币「老牌」场外交易平台 LocalBitcoins, 是一家总部位于芬兰赫尔辛基的比特币新创公司,该公司服务主要是提供比特币与法定货币的场外交易(OTC)。昨日, LocalBitcoins 的用户传出该平台发生进行「网络钓鱼骗局」事件,导致部分用户的比特币被盗领。
LocalBitcoins 的运作模式为,用户会先在平台上刊登交易的「广告」,其他用户有意要进行交易则回复这些广告,并同意以现金购买比特币或通过网上付款。 LocalBitcoins 为用户提供信誉和反馈机制,并提供托管和「冲突解决服务」。在 2013 年 12 月,LocalBitcoins 就已达到约 110,000 名活跃交易者,每日交易量为1,400 – 3,000 比特币。
据 Reddit 论坛用户 bu / bitcoinbabeau 发布的贴文表示,LocalBitcoins 被重定向到钓鱼网站,该网站引导用户输入用户的二次验证码(2FA, 登入帐户时需通过的双重保护机制),并清空所有比特币。
黑客模仿 LocalBitcoins 刻出十分神似的钓鱼网站,旨在模仿实际的 LocalBitcoins 论坛以欺骗用户,用户被提示登录并输入二次验证码。
在黑客获得用户的帐户的访问权限后,用户存在帐户中的比特币便随即被盗取所有比特币。
「我认为我是第一个被清除的人,损失了 0.14 btc。 5 个受害者的资金都寄送到一个钱包。而这只是我们所知道的其中一个属于攻击者的钱包。」Reddit 用户 tefl0ncc 写道。而在 Reddit 上也有另一名用户声称他损失了 11 BTC 总数。
而目前仍不清楚受害的规模有多大。
据目前了解,此次攻击似乎是透过一种相当常见的 DNS 攻击。骇客入侵了 DNS 的服务商,欺骗恶意将用户从一个站点重定向到虚假网站点,在窃取用户的敏感个人资讯后,使用它来访问用户的帐户。
简单的举例来说,你在前往银行的路上迷路了,有人假冒警察给你指了一条通往假银行的路,你在存钱之后输入了银行密码,假银行就拿著你的密码去真银行领钱。照理来说,真银行不该负责,而是真警察没有做好被假冒的风险防护。(唯一不同的是,在网路世界你必须要询问 DNS 才能知道银行的所在)
因此,遭受攻击的是 DNS 的提供商,而不是交易所本身。照理来说,交易所没有承担责任的义务。
去年,流行的以太坊和 ERC-20 代币钱包 MyEtherWallet 也成为 DNS 欺骗攻击的目标。用户然后登录到他们被重定向到的虚假站点,让骇客可以获取他们的资金。
这样子的攻击手法就算检查网址仍无法辨别真伪(网址会显示的一模一样),只能连线的「凭证」来识别网站是否由是可靠的 DNS 服务商提供。
无独有偶,近期有网友在巴比特论坛反馈,自己在火币网账户里的数个比特币同样被盗。据该网友反馈,黑客不止绕过了火币的短信验证,同时绑定上了自己的谷歌ga。并通过谷歌ga提取了账户内的 5.4枚 比特币。
该网友认为,火币的监管机制存在巨大漏洞。在绑定谷歌ga之后,应该会有24小时限制提币的措施。但火币将一切责任归给用户本身,从而引发不满。
不过也有用户认为,其原因主要在于用户自己未绑定谷歌ga,从而给了黑客可乘之机。根据该网友最新的帖子显示,已经前往火币北京总部进行维权。期待进一步反馈。
