2018年4月23日午夜时分,MyEtherWallet的用户开始注意到一些奇怪的事情。因为需要将钱包和服务进行连接,用户就会看到一个未签名的SSL证书,这是一个在网站的验证上显示不完整的链接。这是不寻常的,但面对这一点网民们经常就不假思索直接点击链接了。
但是任何点击这个证书警告的人都被重新定向到俄罗斯的服务器上,而这个服务器则会开始清空用户的钱包。从钱包活动看,袭击者在袭击被停止前两小时内在Ethereum至少拿走了13000美元,而袭击者的钱包早已在以太坊中存储了超过1700万美元。
MyEtherWallet在Reddit的一份声明中证实了此次袭击。公司这样告诉用户:“我们目前正在检查有哪些服务器被黑客盯上了以求能尽快解决这个事情。我们建议用户运行MyEtherWallet的本地(脱机)副本。”
(编者注:Reddit是个社交新闻站点,口号:提前于新闻发生,来自互联网的声音。其拥有者是Condé Nast Digital公司(Advance Magazine Publishers Inc的子公司)。用户(也叫redditors)能够浏览并且可以提交因特网上内容的链接或发布自己的原创或有关用户提交文本的帖子。)
黑客们似乎并没有直接袭击到MyEtherWallet本身。相反,他们攻击了互联网的基础设施,拦截了对myetherwallet.com 的DNS请求,使位于俄罗斯的服务器看起来是IP地址的合法所有者。受到影响的大多数用户都是使用谷歌的8.8.8.8 DNS服务。然而,由于谷歌的服务是递归的,因此很可能通过与亚马逊的“路由53”系统(“Route 53”)的伪造通信从而获得不良列表。
在一份声明中,Amazon 的Web Services的代表强调:服务本身的DNS系统从来没有瘫痪过。声明中写道:“AWS和亚马逊的“路由53”都没有被黑客攻击或是瘫痪过。一个上游的互联网服务提供商受到了恶意破坏,然后黑客利用那个ISP将这个路由53的IP地址的子集传递给与这个ISP相关联的其他网络。”
为了拦截这些请求,黑客使用了一种被称为BGP的黑客技术,这种技术由一个网络服务提供商或是其他网络基础设施提供者进行操作。通常,取消这样的劫持需要侵入由ISP或其他因特网基础设施提供商操作的BGP服务器。在这种情况下,尽管收到袭击的起源还未知,但能知道的是此次袭击发生在芝加哥的一个互联网交易所附近。
到目前为止,MyEtherWallet是唯一被确认受到攻击的服务器,尽管其他服务器也可能受到重新定向的影响。
BGP袭击长期以来被称为互联网的一个基本弱点,它在不用验证的条件下就接收了路由。DNS攻击也是常见的——在2013年,叙利亚电子军就利用DNS攻击袭击了一系列网站。
(编者注:自2011年反叙利亚总统巴沙尔·阿萨德的起义爆发,叙利亚电子军(Syrian Electronic Army)也开始浮出水面。该军团初始的宗旨是:传播亲阿萨德的宣传和回击在他们看来有倾向性的媒体报道。在网络世界中,把一场内战蔓延到了全球。最著名的行为是窃取了美联社的Twitter账号,然后发布白宫遇袭、奥巴马受伤的假消息,导致美国股市暴跌。)
尽管如此,BGP和DNS漏洞在大事件中发生都是非常罕见的,尤其是在如此高调的盗窃中。研究人员Kevin Beaumont在一篇文章中写道:将两者介乎在一起发起袭击的,这是我见过最大规模的一次。这突显了网络安全的脆弱性。
