Atak na portfele Electrum. Skradziono prawie 3,5 mln w bitcoinach

Maciej Olanicki , 28.12.2018 r.
bitcoin_3

Posiadacze kryptowalut, którzy zamiast korzystać z własnych sprzętowych portfeli wybierają zewnętrzne usługi nie mogą raczej spać spokojnie. W ostatnim czasie opisywaliśmy między innymi historię przejęcia komponentu Node.js, który wykorzystano do okradania portfeli z Ethereum. Teraz mamy do czynienia z kolejną pomysłową kradzieżą.

Ofiarami użytkownicy Electrum

O ciekawym sposobie na kradzież kryptowalut donosi między innymi Zaufana Trzecia Strona. W ostatnim czasie na łamach Reddita, pojawiło się wiele zgłoszeń kradzieży z Electrum, jednego z najpopularniejszych dostawców bitcoinowych portfeli. Electrum samo w sobie wykorzystuje dość ciekawy mechanizm – twórcy chcąc uzyskać zdecentralizowaną strukturę (oraz przede wszystkim dać zaoszczędzić użytkownikom przestrzeni dyskowej), wykorzystują do przechowywania bitcoinowego blockchaina zewnętrzne serwery ochotników, nie trzeba go posiadać u siebie na dysku.

W praktyce oznacza to, że użytkownicy sami mogą stawiać serwery, które wykorzystywane są do operacji – udostępniają oni jednak wyłącznie infrastrukturę i nie mają możliwości przechwytywania transakcji czy w ogóle jakiejkolwiek ingerencji w to, do jakich bitcoinowych operacji wykorzystuje się aktualnie ich serwer. Jak się jednak okazało, z jednym wyjątkiem. Właściciele serwera mogą bowiem przygotowywać własne wyglądy komunikatów.

Skradziono prawie 3,4 mln zł

Jeszcze przed Świętami pojawiło się wiele nowych serwerów Electrum, które szybko zaczęły być wykorzystywane do realizowania transakcji. 21 grudnia rozpoczęto wyświetlanie z nich komunikatu informującego o konieczności zaktualizowania klienta Electrum – wersja 3.4.1 miała zawierać łatkę bezpieczeństwa na na odnalezioną niedawno podatność, co oczywiście stanowiło sprytne zagranie socjotechniczne. W komunikacie znajdował się także link do GitHuba (a przynajmniej tak wyglądał), skąd można było pobrać nową wersję klienta.

W praktyce była to oczywiście spreparowana przez atakujących podróbka. Na nic zdała się weryfikacja dwuskładnikowa – gdy klient prosił o autoryzacje, w tle przenoszono środki na inny rachunek. Jak dotąd na portfelu atakującego zgromadzono 243 bitcoiny, co według aktualnego kursu stanowi równowartość około 3,34 mln złotych. Administracja Electrum wyłączyła już możliwość przygotowania własnych komunikatów.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT: