比特币安全必知的事项

就有一个用户遇到了类似的情况。北京时间8月31日，CertiK天网系统发现，一个Github用户称自己丢失了1400枚比特币，而且这些比特币已经被转移到不同的地址中。受害者在electrum的Github issue中讲述了自己丢失比特币的情况，并贴出了自己的比特币钱包地址。在区块链浏览器中可以看到，8月30日共有1404枚比特币（价值1670万美元）从他的钱包中被取出，转移到了黑客的钱包。

事件还原与分析：该用户使用的是Electrum比特币钱包，上次使用是在2017年。此后Electrum已经发布了安全更新，但该用户一直没有安装。用户使用Electrum进行交易时，钱包会向服务器广播一笔交易，如果这笔交易出现问题，服务器将返回错误信息并以弹窗形式展现给用户。在3.3.2版本之前的Electrum钱包中，不会对服务器返回的错误信息进行验证，甚至会对返回的信息进行html渲染。任何人都可以搭建一个Electrum节点服务器，如果一个用户连接到了攻击者的服务器并发起了一笔交易，服务器可以返回任何设计好的错误信息，比如让用户更新Electrum钱包的错误信息。然而，这个链接指向了攻击者自己写的恶意软件，一旦用户下载安装该软件并导入自己的钱包，钱包中所有的比特币就会被攻击者转走。

这其实是一种钓鱼攻击，但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的，很多人会信以为真。在本次事件中，受害者的钱包连接到了攻击者所控制的服务器，导致其收到了服务器发出的钓鱼信息，进而被攻击者转走了所有比特币。早在2018年底，Electrum钱包存在的这个问题已经引起了广泛讨论。Electrum官方在2019年的钱包版本3.3.4中修复了这个问题，后续版本的钱包不会再将服务器返回的内容直接展示给用户，也不会对其进行html渲染。此外，由于旧版本的钱包仍然存在这个问题，所有正常的服务器都会对3.3版本之前的钱包进行拒绝服务攻击，以强制用户进行更新。

CertiK安全团队建议用户在使用钱包进行交易时，要确保钱包是最新版本，以防旧版本的钱包存在被黑客利用的漏洞。在下载钱包更新时，要注意验证下载URL是否与官方一致，并对钱包的签名进行验证。钱包开发团队需要寻找专业团队进行测试，以免项目出现漏洞造成用户损失。