來源：區(qū)塊律動(dòng)（ID：BlockBeats）

作者：0x2

本周二晚，全網(wǎng)最知名的以太坊錢包查看網(wǎng)站 MyEtherWallet 因?yàn)椴糠值貐^(qū) Google DNS 被劫持，導(dǎo)致大量用戶訪問地址后跳轉(zhuǎn)到釣魚網(wǎng)站，損失超過 30 萬美元的數(shù)字資產(chǎn)。

具體細(xì)節(jié)不多闡述，簡單來講就是黑客利用互聯(lián)網(wǎng)運(yùn)營商網(wǎng)絡(luò)協(xié)議中一個(gè)存在很久的漏洞干擾了“網(wǎng)站導(dǎo)航員”，導(dǎo)致用戶訪問 A 網(wǎng)站的時(shí)候跑到 B 網(wǎng)站去了。如果 B 網(wǎng)站是模仿 A 的釣魚網(wǎng)站的話，那么用戶是很難辨別真假，而在 B 網(wǎng)站上的任何操作都會(huì)被黑客記錄，包括賬號(hào)密碼、上傳的文件、操作行為等。

早在 3 個(gè)月前就曝光過該安全風(fēng)險(xiǎn)的 Blue Protocol 公司，今天凌晨再次發(fā)出安全預(yù)警，MyEtherWallet 網(wǎng)站的 DNS 劫持依舊持續(xù)中，請(qǐng)不要訪問。

針對(duì)這一事件，區(qū)塊律動(dòng) BlockBeats（ID：BlockBeats）與區(qū)塊鏈安全團(tuán)隊(duì) PeckShield、imToken 錢包技術(shù)專家進(jìn)行討論之后，認(rèn)為這次 MyEtherWallet 用戶資產(chǎn)被釣魚事件主要責(zé)任在用戶和運(yùn)營商，用戶和項(xiàng)目方的安全意識(shí)有待提高。

但這次事件也宣布了網(wǎng)頁錢包工具即將死亡。

MyEtherWallet是一家什么樣的網(wǎng)站？

2017 年進(jìn)入幣圈的用戶對(duì)這家網(wǎng)站應(yīng)該比較熟悉，這是一個(gè)基于網(wǎng)頁的以太坊錢包生成、查看工具。在錢包類 App 還沒有流行的時(shí)候，大家要么使用客戶端版的錢包，要么就是使用網(wǎng)頁版的 MyEtherWallet。

用過的人都知道，MyEtherWallet 對(duì)于中國人這種重視使用體驗(yàn)的群體來講非常不友好。但這并不妨礙 MyEtherWallet 成為第一大以太坊網(wǎng)頁錢包應(yīng)用。

區(qū)塊律動(dòng) BlockBeats（ID：BlockBeats）發(fā)現(xiàn) MyEtherWallet 的月 PV 在 1400 萬，用戶量非常大，停留時(shí)間也很長，達(dá)到了 4 分半。

而從 MyEtherWallet 的訪問區(qū)域來看以美國、俄羅斯、越南、日本為主，這些國家并沒有很流行的錢包類 App 供用戶使用，是他們使用網(wǎng)頁版錢包的主要原因之一。

MyEtherWallet 的訪問流量來源中，有 75% 的流量是直接訪問，也就是直接在瀏覽器的地址框中輸入或者是點(diǎn)擊瀏覽器的收藏夾進(jìn)行訪問。直接訪問，這很符合 MyEtherWallet 每時(shí)每刻都在提醒用戶的安全指引。

安全公司4個(gè)月前就發(fā)出警告，但是被質(zhì)疑是騙子

今年年初暴漲的讓 MyEtherWallet 團(tuán)隊(duì)容不得任何批評(píng)，不愿意承認(rèn)自家的網(wǎng)站存在被 DNS 劫持的風(fēng)險(xiǎn)。

今年 1 月 9 日，去中心化二步驗(yàn)證團(tuán)隊(duì) Blue Protocol 在 Twitter 連續(xù)發(fā)布多個(gè)針對(duì) MyEtherWallet 的 DNS 安全預(yù)警，稱多個(gè)地區(qū)的用戶表示自己訪問 MyEtherWallet 的時(shí)候會(huì)被導(dǎo)航到假的 MyEtherWallet 網(wǎng)站。

此時(shí)引發(fā)大量討論，MyEtherWallet 團(tuán)隊(duì)對(duì)此回應(yīng)稱“打擊謠言傳播”，并配上雞湯文《陽光總在黑暗之后破曉》。

以太坊基金會(huì)的 Hudson Jameson 甚至稱這個(gè)團(tuán)隊(duì)“令人惡心”“傳播謠言來吸引用戶使用他們的服務(wù)”。

而如今，反駁這個(gè)安全預(yù)警的兩人都被網(wǎng)友啪啪打臉。

為什么 MyEtherWallet 團(tuán)隊(duì)會(huì)如此有信心？或許是因?yàn)楸桓邼q的流量沖昏了頭腦，MyEtherWallet 的網(wǎng)站流量在 1 月份的時(shí)候達(dá)到歷史最高值，使其成為網(wǎng)頁錢包工具中流量最高的網(wǎng)站。

他們天真地認(rèn)為，存在于傳統(tǒng)互聯(lián)網(wǎng)的黑客套路不可能出現(xiàn)在區(qū)塊鏈上，但卻忘記了即便是區(qū)塊鏈網(wǎng)絡(luò)也需要接入運(yùn)營商的網(wǎng)絡(luò)，再高級(jí)的技術(shù)也逃不過降維打擊。

MyEtherWallet 已經(jīng)盡到了告知義務(wù)

每次用戶登陸，頁面上任何可以放提示信息的地方，都放滿了對(duì)用戶的安全提示信息。幾乎每時(shí)每刻，MyEtherWallet 都在提醒用戶：MyEtherWallet 不是一個(gè)銀行，我們不幫你保存任何資產(chǎn)，你要明白區(qū)塊鏈數(shù)字資產(chǎn)的含義，要明白你在這里使用的不是一個(gè)“錢包”，認(rèn)準(zhǔn)我們的網(wǎng)站，記得安裝 metamask 插件，丟了錢是你自己的問題。

但是用戶根本不用 metamask，更不懂區(qū)塊鏈上的數(shù)字錢包具體的含義，也不看瀏覽器地址上的綠條條，只關(guān)心自己今天賺了多少錢，虧了多少錢。

然而這些努力在 DNS 劫持面前，失去了意義。

網(wǎng)頁錢包的死緩

毫無疑問，同樣的問題已經(jīng)發(fā)生了不止一次，最起碼在 MyEtherWallet 上就已經(jīng)發(fā)生了 2 次。而這種因?yàn)檫\(yùn)營商網(wǎng)絡(luò)漏洞而造成的 DNS 劫持還將持續(xù)進(jìn)行，截至發(fā)稿 MyEtherWallet 的 DNS 劫持依舊持續(xù)存在。

MyEtherWallet 團(tuán)隊(duì)發(fā)表聲明，要求用戶在官方確認(rèn)可以使用之前，不要嘗試使用 MyEtherWallet 的網(wǎng)頁錢包。

對(duì)于這種你永遠(yuǎn)都不知道什么時(shí)候會(huì)發(fā)生、什么時(shí)候會(huì)停止的安全問題，一朝被蛇咬十年怕井繩，MyEtherWallet 即便官方聲明已經(jīng)修復(fù)該問題，你還敢使用嗎？

安全專家怎么看

對(duì)于 MyEtherWallet 發(fā)生的安全事故，區(qū)塊律動(dòng) BlockBeats（ID：BlockBeats）與安全團(tuán)隊(duì) PeckShield 創(chuàng)始人蔣旭憲和 imToken 團(tuán)隊(duì)的 CSO Blue進(jìn)行了溝通交流。

蔣旭憲表示，對(duì)于區(qū)塊鏈行業(yè)，最近發(fā)生的幾期安全事故，能夠有效地引導(dǎo)從業(yè)者提高對(duì)區(qū)塊鏈安全問題的認(rèn)知。同時(shí)，也有助于提高大眾對(duì)于區(qū)塊鏈數(shù)字資產(chǎn)的爭取認(rèn)識(shí)。

據(jù)了解，已經(jīng)有不少區(qū)塊鏈團(tuán)隊(duì)準(zhǔn)備拿出部分預(yù)算尋找安全團(tuán)隊(duì)或者安全解決方案。imToken 團(tuán)隊(duì)的 CSO Blue 則表示，DNS 劫持不好防范，網(wǎng)頁錢包收到預(yù)警后應(yīng)當(dāng)向用戶做出安全提示。面對(duì) DNS 劫持，網(wǎng)頁版錢包沒有招架之力，經(jīng)歷相關(guān)事件后估計(jì)大家會(huì)對(duì)此比較悲觀。

對(duì)于用戶來講，冷錢包或者相對(duì)更安全的 App 錢包，是比網(wǎng)頁錢包更安全的方式。而整個(gè)行業(yè)也需要加強(qiáng)對(duì)用戶的安全教育，普及區(qū)塊鏈數(shù)字資產(chǎn)的安全教育知識(shí)，為區(qū)塊鏈安全生態(tài)貢獻(xiàn)力量。

*文章為作者獨(dú)立觀點(diǎn)，不代表虎嗅網(wǎng)立場

本文由 區(qū)塊律動(dòng)授權(quán)虎嗅網(wǎng)發(fā)表，并經(jīng)虎嗅網(wǎng)編輯。轉(zhuǎn)載此文請(qǐng)于文首標(biāo)明作者姓名，保持文章完整性（包括虎嗅注及其余作者身份信息），并請(qǐng)附上出處（虎嗅網(wǎng)）及本頁鏈接。原文鏈接：
http://www.huxiu.com/article/241900.html

未按照規(guī)范轉(zhuǎn)載者，虎嗅保留追究相應(yīng)責(zé)任的權(quán)利

未來面前，你我還都是孩子，還不去下載 虎嗅App 猛嗅創(chuàng)新！