摘要： Reddit社區(qū)消息，MyEtherWallet疑似在全球某些區(qū)域遭受DNS劫持，大量用戶反饋登錄MyEtherWallet后出現(xiàn)10秒倒計(jì)時(shí)，然后錢包內(nèi)余額被全部轉(zhuǎn)走。

事件回顧：4月24日晚9點(diǎn)，網(wǎng)絡(luò)上最受歡迎的以太坊錢包 Myetherwallet（MEW）遭受DNS劫持攻擊。發(fā)生的一連串的事故，讓很多用戶在一臉懵逼中錢包被清空，兩個(gè)小時(shí)的時(shí)間里，黑客盜走至少13000美元，而其賬戶早已存儲(chǔ)價(jià)值高達(dá)1700萬美元的以太坊。一度懷疑是平臺(tái)遭黑客入侵，畢竟此前發(fā)生加密貨幣交易平臺(tái)被黑客攻擊的案例并不少見。

問題第一次浮出水面是一位 MEW 用戶在Reddit上發(fā)布一條帖子稱自己可能被騙了——Think I got scammed/phished/hacked，該用戶登錄Myetherwallet的時(shí)候，僅僅10秒鐘的時(shí)間，錢包里的ETH就被發(fā)送到另一個(gè)錢包中。

雖然收到了不安全的提示，但他仍然嘗試?yán)^續(xù)登陸。

根據(jù)其描述，在進(jìn)入Myetherwallet網(wǎng)站的時(shí)候，Chrome提示“網(wǎng)站不安全”，“盡管身體的每個(gè)部分都告訴我不要嘗試登錄”，但還是沒控制住自己手。

等到從Etherscan上看到交易已經(jīng)完成，這時(shí)他才意識(shí)自己可能是被騙了。在該用戶發(fā)帖時(shí)，總計(jì)約 524ETH 收已經(jīng)被轉(zhuǎn)入到兩個(gè)黑客地址中。

據(jù)了解已經(jīng)有不少用戶遭遇了這種情況，但也有一些人看到瀏覽器提醒SSL證書未簽名，便沒有繼續(xù)登錄，避免了遭遇損失。

不久后MEW發(fā)布一篇推文，確認(rèn)Myetherwallet服務(wù)器遭到了這次的攻擊事件，建議用戶使用MyEtherWallet的本地（脫機(jī)）副本。隨后給出答復(fù)稱MyEtherWallet已經(jīng)恢復(fù)正常，并給出了事故的發(fā)生原因，并非MyEtherWallet的安全問題，而是由于Amazon的DNS遭到劫持所導(dǎo)致。

根據(jù)這次事故發(fā)生情況來看，攻擊持續(xù)了大約兩個(gè)小時(shí)，攻擊者利用多個(gè)賬戶轉(zhuǎn)走了受害者的ETH，總價(jià)值超過13000美元。而已知的賬戶地址能夠看到詳細(xì)的交易記錄，基本已經(jīng)全部被提出。

黑客在這次攻擊中利用的BGP攻擊技術(shù)。BGP指的是邊界網(wǎng)關(guān)協(xié)議，是將信息從網(wǎng)絡(luò)的一部分路由到另一部分的標(biāo)準(zhǔn)網(wǎng)關(guān)。就是說這種技術(shù)是由一個(gè)網(wǎng)絡(luò)服務(wù)提供商或是其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供者進(jìn)行操作。通常，取消這樣的劫持需要侵入由ISP或其他因特網(wǎng)基礎(chǔ)設(shè)施提供商操作的BGP服務(wù)器。

一直以來，BGP劫持一直被稱為互聯(lián)網(wǎng)的一個(gè)根本弱點(diǎn)，它被設(shè)計(jì)為無需驗(yàn)證就接受路由。但這種攻擊方式非常罕見，尤其是在如此大規(guī)模的事件中。此次的攻擊手法如此之強(qiáng)大，范圍大到了主要的互聯(lián)網(wǎng)服務(wù)提供商，和強(qiáng)大的DNS流量處理能力。極有可能MyEtherWallet.com不是唯一的目標(biāo)。但目前為止，MyEtherWallet是唯一確認(rèn)受到此類攻擊的服務(wù)器。

DNS攻擊的表現(xiàn)形式有很多種，通常都針對連接互聯(lián)網(wǎng)的域名服務(wù)器。如果你身處加密貨幣領(lǐng)域，防止DNS攻擊不是不可能的。

DNS攻擊如何運(yùn)作：這次的DNS攻擊影響了大量的大型網(wǎng)站，對于Myetherwallet用戶來說更是付出了巨大的代價(jià)。

通過現(xiàn)有的70多萬個(gè)可行路由，從A點(diǎn)到B點(diǎn)或者Z點(diǎn)，又或者是任意一點(diǎn)都可以有很多不同的路徑。大多數(shù)情況下，這些由不同的互聯(lián)網(wǎng)供應(yīng)商運(yùn)作的鏈?zhǔn)浇Y(jié)構(gòu)都能夠相互溝通，但偶爾會(huì)出現(xiàn)意外。通常這些漏洞都是小范圍的，是由配置錯(cuò)誤導(dǎo)致的。不過，具有報(bào)道稱：

有時(shí)候（BGP漏洞）是帶有惡意目的的?？梢酝ㄟ^重新路由前綴來被動(dòng)地分析數(shù)據(jù)。

在漏洞爆發(fā)的這兩個(gè)小時(shí)內(nèi)，IP范圍內(nèi)的服務(wù)器只響應(yīng)了myetherwallet.com的查詢。部分人已經(jīng)注意到了服務(wù)器發(fā)生故障。任何由Route53處理的DNS解析器都只能查詢到被BGP漏洞所影響的主服務(wù)器。

可以從下圖中更直觀地看到正常的網(wǎng)絡(luò)與被攻擊的網(wǎng)絡(luò)之間路由傳輸?shù)牟顒e。

（運(yùn)作正常的網(wǎng)絡(luò)）

（遭到DNS攻擊的網(wǎng)絡(luò)）

好消息是，在大多數(shù)情況下，識(shí)別BGP劫持并不需要使用互聯(lián)網(wǎng)協(xié)議結(jié)構(gòu)中的主服務(wù)器。首先，瀏覽器的https地址會(huì)出現(xiàn)錯(cuò)誤。如果瀏覽器地址欄的“https”顯示為綠色，那么就證明你訪問的網(wǎng)站是安全的。如果出現(xiàn)紅色或者瀏覽器發(fā)出了警告信息，你就不應(yīng)該再進(jìn)行下一步操作了，即使URL是正確的。

保管好你的幣:其實(shí)檢測BGP漏洞的責(zé)任在網(wǎng)絡(luò)管理者。把加密貨幣存在中心化的交易所是有風(fēng)險(xiǎn)的，與Myetherwallet等網(wǎng)站以及Etherdelta等去中心化交易所連接也是一樣——這兩個(gè)網(wǎng)站都遭到了DNS攻擊，投資者幾乎沒有選擇。有些公司已經(jīng)開始研究相關(guān)技術(shù)，提醒加密貨幣交易所用戶承擔(dān)DNS造成的風(fēng)險(xiǎn)，但距離實(shí)際應(yīng)用還有很遠(yuǎn)。

為了正常的工作和生活，你不需要每時(shí)每刻都擔(dān)心著網(wǎng)絡(luò)被劫持或攻擊。但當(dāng)你進(jìn)入在線錢包和交易所時(shí)，一定要記得檢查https地址。如果你得直覺告訴你有些不對勁，那么就應(yīng)該相信你的直覺，留意警告信息，這很可能幫你保住你的幣。