黑客从这家网站偷走30万美元,还给网页钱包判了死缓

本周二晚,全网最知名的以太坊钱包查看网站 MyEtherWallet 因为部分地区 Google DNS 被劫持,导致大量用户访问地址后跳转到钓鱼网站,损失超过 30 万美元的数字资产。


具体细节不多阐述,简单来讲就是黑客利用互联网运营商网络协议中一个存在很久的漏洞干扰了“网站导航员”,导致用户访问 A 网站的时候跑到 B 网站去了。如果 B 网站是模仿 A 的钓鱼网站的话,那么用户是很难辨别真假,而在 B 网站上的任何操作都会被黑客记录,包括账号密码、上传的文件、操作行为等。


早在 3 个月前就曝光过该安全风险的 Blue Protocol 公司,今天凌晨再次发出安全预警,MyEtherWallet 网站的 DNS 劫持依旧持续中,请不要访问。


针对这一事件,区块律动 BlockBeats(ID:BlockBeats)与区块链安全团队 PeckShield、imToken 钱包技术专家进行讨论之后,认为这次 MyEtherWallet 用户资产被钓鱼事件主要责任在用户和运营商,用户和项目方的安全意识有待提高。


但这次事件也宣布了网页钱包工具即将死亡。


MyEtherWallet是一家什么样的网站?


2017 年进入币圈的用户对这家网站应该比较熟悉,这是一个基于网页的以太坊钱包生成、查看工具。在钱包类 App 还没有流行的时候,大家要么使用客户端版的钱包,要么就是使用网页版的 MyEtherWallet。


用过的人都知道,MyEtherWallet 对于中国人这种重视使用体验的群体来讲非常不友好。但这并不妨碍 MyEtherWallet 成为第一大以太坊网页钱包应用。



区块律动 BlockBeats(ID:BlockBeats)发现 MyEtherWallet 的月 PV 在 1400 万,用户量非常大,停留时间也很长,达到了 4 分半。



而从 MyEtherWallet 的访问区域来看以美国、俄罗斯、越南、日本为主,这些国家并没有很流行的钱包类 App 供用户使用,是他们使用网页版钱包的主要原因之一。



MyEtherWallet 的访问流量来源中,有 75% 的流量是直接访问,也就是直接在浏览器的地址框中输入或者是点击浏览器的收藏夹进行访问。直接访问,这很符合 MyEtherWallet 每时每刻都在提醒用户的安全指引。


安全公司4个月前就发出警告,但是被质疑是骗子


今年年初暴涨的让 MyEtherWallet 团队容不得任何批评,不愿意承认自家的网站存在被 DNS 劫持的风险。


今年 1 月 9 日,去中心化二步验证团队 Blue Protocol 在 Twitter 连续发布多个针对 MyEtherWallet 的 DNS 安全预警,称多个地区的用户表示自己访问 MyEtherWallet 的时候会被导航到假的 MyEtherWallet 网站。



此时引发大量讨论,MyEtherWallet 团队对此回应称“打击谣言传播”,并配上鸡汤文《阳光总在黑暗之后破晓》。


以太坊基金会的 Hudson Jameson 甚至称这个团队“令人恶心”“传播谣言来吸引用户使用他们的服务”。


而如今,反驳这个安全预警的两人都被网友啪啪打脸。


为什么 MyEtherWallet 团队会如此有信心?或许是因为被高涨的流量冲昏了头脑,MyEtherWallet 的网站流量在 1 月份的时候达到历史最高值,使其成为网页钱包工具中流量最高的网站。


他们天真地认为,存在于传统互联网的黑客套路不可能出现在区块链上,但却忘记了即便是区块链网络也需要接入运营商的网络,再高级的技术也逃不过降维打击。


MyEtherWallet 已经尽到了告知义务


每次用户登陆,页面上任何可以放提示信息的地方,都放满了对用户的安全提示信息。几乎每时每刻,MyEtherWallet 都在提醒用户:MyEtherWallet 不是一个银行,我们不帮你保存任何资产,你要明白区块链数字资产的含义,要明白你在这里使用的不是一个“钱包”,认准我们的网站,记得安装 metamask 插件,丢了钱是你自己的问题。


但是用户根本不用 metamask,更不懂区块链上的数字钱包具体的含义,也不看浏览器地址上的绿条条,只关心自己今天赚了多少钱,亏了多少钱。


然而这些努力在 DNS 劫持面前,失去了意义。


网页钱包的死缓


毫无疑问,同样的问题已经发生了不止一次,最起码在 MyEtherWallet 上就已经发生了 2 次。而这种因为运营商网络漏洞而造成的 DNS 劫持还将持续进行,截至发稿 MyEtherWallet 的 DNS 劫持依旧持续存在。


MyEtherWallet 团队发表声明,要求用户在官方确认可以使用之前,不要尝试使用 MyEtherWallet 的网页钱包。


对于这种你永远都不知道什么时候会发生、什么时候会停止的安全问题,一朝被蛇咬十年怕井绳,MyEtherWallet 即便官方声明已经修复该问题,你还敢使用吗?


安全专家怎么看


对于 MyEtherWallet 发生的安全事故,区块律动 BlockBeats(ID:BlockBeats)与安全团队 PeckShield 创始人蒋旭宪和 imToken 团队的 CSO Blue进行了沟通交流。


蒋旭宪表示,对于区块链行业,最近发生的几期安全事故,能够有效地引导从业者提高对区块链安全问题的认知。同时,也有助于提高大众对于区块链数字资产的争取认识。


据了解,已经有不少区块链团队准备拿出部分预算寻找安全团队或者安全解决方案。imToken 团队的 CSO Blue 则表示,DNS 劫持不好防范,网页钱包收到预警后应当向用户做出安全提示。面对 DNS 劫持,网页版钱包没有招架之力,经历相关事件后估计大家会对此比较悲观。


对于用户来讲,冷钱包或者相对更安全的 App 钱包,是比网页钱包更安全的方式。而整个行业也需要加强对用户的安全教育,普及区块链数字资产的安全教育知识,为区块链安全生态贡献力量。

上一篇: 这儿有一份全球AI扩张路线图:百度早于谷歌,腾讯烧钱最多
下一篇: 做区块链有那么挣钱么?

针对APP开发您可能感兴趣

APP制作开发公司怎么选择
APP制作开发公司怎么选择
一家好的app开发公司该怎么选择
一家好的app开发公司该怎么选择
怎么挑选靠谱APP外包公司
怎么挑选靠谱APP外包公司
成都知名开发app公司有哪些
成都知名开发app公司有哪些
成都app开发专业公司重要吗
成都app开发专业公司重要吗
成都有哪些app开发公司
成都有哪些app开发公司
成都专业开发APP的公司有哪些?
成都专业开发APP的公司有哪些?
成都app开发公司哪家强
成都app开发公司哪家强
成都app开发外包公司有哪些
成都app开发外包公司有哪些

app开发公司哪家好

成都开发app哪家好

app开发外包有哪些好处

成都APP开发请问哪家公司好,技术实力怎样

APP开发企业选哪家比较好?

未来久介绍酒水APP哪家好?

成都未来久浅析如何设计更好的app界面

成都开发app的公司哪家好

开发app的公司哪家好

成都app软件开发哪家好

成都app定制开发公司哪家好

app开发需要多少钱

成都开发手机app需要多少钱

成都APP开发:APP开发需要多少钱

开发app需要多少钱

社交APP开发要多少钱

App开发者应该怎么赚钱

在线钢琴陪练APP软件开发需要多少钱

在成都未来久开发混合app需要多少钱

开发大麦网类似APP需要多少钱

app项目的开发需要多少钱

未来久浅析哪款刷视频赚钱APP比较靠谱?

app开发公司怎么样

APP公司这么多 该怎么选

怎么做app开发

怎么选择一个手机APP开发公司

怎么挑选靠谱APP外包公司

学习app的碎片化开发是怎么进行

小程序让用户持续关注怎么做

APP制作开发公司怎么选择

成都未来久未来app开发怎么样

怎么做app开发

App开发者应该怎么赚钱

行业新闻查看全部

创新创业查看全部

公司动态查看全部

立刻咨询
获取方案/报价

1对1专家顾问

7x24咨询热线

173-1307-7569
400-0770-569

 在线咨询

添加客服微信
马上获取方案/报价