TMT观察网_独特视角观察TMT行业

事件回顧：

4月24日晚9點，網絡上最受歡迎的以太坊錢包 Myetherwallet（MEW）遭受DNS劫持攻擊。發生的一連串的事故，讓很多用戶在一臉懵逼中錢包被清空，兩個小時的時間里，黑客盜走至少13000美元，而其賬戶早已存儲價值高達1700萬美元的以太坊。一度懷疑是平臺遭黑客入侵，畢竟此前發生加密貨幣交易平臺被黑客攻擊的案例并不少見。

問題第一次浮出水面是一位 MEW 用戶在Reddit上發布一條帖子稱自己可能被騙了——Think I got scammed/phished/hacked，該用戶登錄Myetherwallet的時候，僅僅10秒鐘的時間，錢包里的ETH就被發送到另一個錢包中。

雖然收到了不安全的提示，但他仍然嘗試繼續登陸。

根據其描述，在進入Myetherwallet網站的時候，Chrome提示“網站不安全”，“盡管身體的每個部分都告訴我不要嘗試登錄”，但還是沒控制住自己手。

等到從Etherscan上看到交易已經完成，這時他才意識自己可能是被騙了。在該用戶發帖時，總計約 524ETH 收已經被轉入到兩個黑客地址中。

據了解已經有不少用戶遭遇了這種情況，但也有一些人看到瀏覽器提醒SSL證書未簽名，便沒有繼續登錄，避免了遭遇損失。

不久后MEW發布一篇推文，確認Myetherwallet服務器遭到了這次的攻擊事件，建議用戶使用MyEtherWallet的本地（脫機）副本。隨后給出答復稱MyEtherWallet已經恢復正常，并給出了事故的發生原因，并非MyEtherWallet的安全問題，而是由于Amazon的DNS遭到劫持所導致。

根據這次事故發生情況來看，攻擊持續了大約兩個小時，攻擊者利用多個賬戶轉走了受害者的ETH，總價值超過13000美元。而已知的賬戶地址能夠看到詳細的交易記錄，基本已經全部被提出。

黑客在這次攻擊中利用的BGP攻擊技術。BGP指的是邊界網關協議，是將信息從網絡的一部分路由到另一部分的標準網關。就是說這種技術是由一個網絡服務提供商或是其他網絡基礎設施提供者進行操作。通常，取消這樣的劫持需要侵入由ISP或其他因特網基礎設施提供商操作的BGP服務器。

一直以來，BGP劫持一直被稱為互聯網的一個根本弱點，它被設計為無需驗證就接受路由。但這種攻擊方式非常罕見，尤其是在如此大規模的事件中。此次的攻擊手法如此之強大，范圍大到了主要的互聯網服務提供商，和強大的DNS流量處理能力。極有可能MyEtherWallet.com不是唯一的目標。但目前為止，MyEtherWallet是唯一確認受到此類攻擊的服務器。

DNS攻擊的表現形式有很多種，通常都針對連接互聯網的域名服務器。如果你身處加密貨幣領域，防止DNS攻擊不是不可能的。

DNS攻擊如何運作：

這次的DNS攻擊影響了大量的大型網站，對于Myetherwallet用戶來說更是付出了巨大的代價。

通過現有的70多萬個可行路由，從A點到B點或者Z點，又或者是任意一點都可以有很多不同的路徑。大多數情況下，這些由不同的互聯網供應商運作的鏈式結構都能夠相互溝通，但偶爾會出現意外。通常這些漏洞都是小范圍的，是由配置錯誤導致的。不過，具有報道稱：

有時候（BGP漏洞）是帶有惡意目的的。可以通過重新路由前綴來被動地分析數據。

在漏洞爆發的這兩個小時內，IP范圍內的服務器只響應了myetherwallet.com的查詢。部分人已經注意到了服務器發生故障。任何由Route53處理的DNS解析器都只能查詢到被BGP漏洞所影響的主服務器。

可以從下圖中更直觀地看到正常的網絡與被攻擊的網絡之間路由傳輸的差別。

（運作正常的網絡）

（遭到DNS攻擊的網絡）

好消息是，在大多數情況下，識別BGP劫持并不需要使用互聯網協議結構中的主服務器。首先，瀏覽器的https地址會出現錯誤。如果瀏覽器地址欄的“https”顯示為綠色，那么就證明你訪問的網站是安全的。如果出現紅色或者瀏覽器發出了警告信息，你就不應該再進行下一步操作了，即使URL是正確的。

保管好你的幣:

其實檢測BGP漏洞的責任在網絡管理者。把加密貨幣存在中心化的交易所是有風險的，與Myetherwallet等網站以及Etherdelta等去中心化交易所連接也是一樣——這兩個網站都遭到了DNS攻擊，投資者幾乎沒有選擇。有些公司已經開始研究相關技術，提醒加密貨幣交易所用戶承擔DNS造成的風險，但距離實際應用還有很遠。

為了正常的工作和生活，你不需要每時每刻都擔心著網絡被劫持或攻擊。但當你進入在線錢包和交易所時，一定要記得檢查https地址。如果你得直覺告訴你有些不對勁，那么就應該相信你的直覺，留意警告信息，這很可能幫你保住你的幣。