黑客從這家網(wǎng)站偷走30萬美元，還給網(wǎng)頁錢包判了死緩

本周二晚，全網(wǎng)最知名的以太坊錢包查看網(wǎng)站 MyEtherWallet 因為部分地區(qū) Google DNS 被劫持，導致大量用戶訪問地址后跳轉到釣魚網(wǎng)站，損失超過 30 萬美元的數(shù)字資產(chǎn)。

具體細節(jié)不多闡述，簡單來講就是黑客利用互聯(lián)網(wǎng)運營商網(wǎng)絡協(xié)議中一個存在很久的漏洞干擾了“網(wǎng)站導航員”，導致用戶訪問 A 網(wǎng)站的時候跑到 B 網(wǎng)站去了。如果 B 網(wǎng)站是模仿 A 的釣魚網(wǎng)站的話，那么用戶是很難辨別真假，而在 B 網(wǎng)站上的任何操作都會被黑客記錄，包括賬號密碼、上傳的文件、操作行為等。

早在 3 個月前就曝光過該安全風險的 Blue Protocol 公司，今天凌晨再次發(fā)出安全預警，MyEtherWallet 網(wǎng)站的 DNS 劫持依舊持續(xù)中，請不要訪問。

針對這一事件，區(qū)塊律動 BlockBeats（ID：BlockBeats）與區(qū)塊鏈安全團隊 PeckShield、imToken 錢包技術專家進行討論之后，認為這次 MyEtherWallet 用戶資產(chǎn)被釣魚事件主要責任在用戶和運營商，用戶和項目方的安全意識有待提高。

但這次事件也宣布了網(wǎng)頁錢包工具即將死亡。

MyEtherWallet是一家什么樣的網(wǎng)站？

2017 年進入幣圈的用戶對這家網(wǎng)站應該比較熟悉，這是一個基于網(wǎng)頁的以太坊錢包生成、查看工具。在錢包類 App 還沒有流行的時候，大家要么使用客戶端版的錢包，要么就是使用網(wǎng)頁版的 MyEtherWallet。

用過的人都知道，MyEtherWallet 對于中國人這種重視使用體驗的群體來講非常不友好。但這并不妨礙 MyEtherWallet 成為第一大以太坊網(wǎng)頁錢包應用。

區(qū)塊律動 BlockBeats（ID：BlockBeats）發(fā)現(xiàn) MyEtherWallet 的月 PV 在 1400 萬，用戶量非常大，停留時間也很長，達到了 4 分半。

而從 MyEtherWallet 的訪問區(qū)域來看以美國、俄羅斯、越南、日本為主，這些國家并沒有很流行的錢包類 App 供用戶使用，是他們使用網(wǎng)頁版錢包的主要原因之一。

MyEtherWallet 的訪問流量來源中，有 75% 的流量是直接訪問，也就是直接在瀏覽器的地址框中輸入或者是點擊瀏覽器的收藏夾進行訪問。直接訪問，這很符合 MyEtherWallet 每時每刻都在提醒用戶的安全指引。

安全公司4個月前就發(fā)出警告，但是被質疑是騙子

今年年初暴漲的讓 MyEtherWallet 團隊容不得任何批評，不愿意承認自家的網(wǎng)站存在被 DNS 劫持的風險。

今年 1 月 9 日，去中心化二步驗證團隊 Blue Protocol 在 Twitter 連續(xù)發(fā)布多個針對 MyEtherWallet 的 DNS 安全預警，稱多個地區(qū)的用戶表示自己訪問 MyEtherWallet 的時候會被導航到假的 MyEtherWallet 網(wǎng)站。

此時引發(fā)大量討論，MyEtherWallet 團隊對此回應稱“打擊謠言傳播”，并配上雞湯文《陽光總在黑暗之后破曉》。

以太坊基金會的 Hudson Jameson 甚至稱這個團隊“令人惡心”“傳播謠言來吸引用戶使用他們的服務”。

而如今，反駁這個安全預警的兩人都被網(wǎng)友啪啪打臉。

為什么 MyEtherWallet 團隊會如此有信心？或許是因為被高漲的流量沖昏了頭腦，MyEtherWallet 的網(wǎng)站流量在 1 月份的時候達到歷史最高值，使其成為網(wǎng)頁錢包工具中流量最高的網(wǎng)站。

他們天真地認為，存在于傳統(tǒng)互聯(lián)網(wǎng)的黑客套路不可能出現(xiàn)在區(qū)塊鏈上，但卻忘記了即便是區(qū)塊鏈網(wǎng)絡也需要接入運營商的網(wǎng)絡，再高級的技術也逃不過降維打擊。

MyEtherWallet 已經(jīng)盡到了告知義務

每次用戶登陸，頁面上任何可以放提示信息的地方，都放滿了對用戶的安全提示信息。幾乎每時每刻，MyEtherWallet 都在提醒用戶：MyEtherWallet 不是一個銀行，我們不幫你保存任何資產(chǎn)，你要明白區(qū)塊鏈數(shù)字資產(chǎn)的含義，要明白你在這里使用的不是一個“錢包”，認準我們的網(wǎng)站，記得安裝 metamask 插件，丟了錢是你自己的問題。

但是用戶根本不用 metamask，更不懂區(qū)塊鏈上的數(shù)字錢包具體的含義，也不看瀏覽器地址上的綠條條，只關心自己今天賺了多少錢，虧了多少錢。

然而這些努力在 DNS 劫持面前，失去了意義。

網(wǎng)頁錢包的死緩

毫無疑問，同樣的問題已經(jīng)發(fā)生了不止一次，最起碼在 MyEtherWallet 上就已經(jīng)發(fā)生了 2 次。而這種因為運營商網(wǎng)絡漏洞而造成的 DNS 劫持還將持續(xù)進行，截至發(fā)稿 MyEtherWallet 的 DNS 劫持依舊持續(xù)存在。

MyEtherWallet 團隊發(fā)表聲明，要求用戶在官方確認可以使用之前，不要嘗試使用 MyEtherWallet 的網(wǎng)頁錢包。

對于這種你永遠都不知道什么時候會發(fā)生、什么時候會停止的安全問題，一朝被蛇咬十年怕井繩，MyEtherWallet 即便官方聲明已經(jīng)修復該問題，你還敢使用嗎？

安全專家怎么看

對于 MyEtherWallet 發(fā)生的安全事故，區(qū)塊律動 BlockBeats（ID：BlockBeats）與安全團隊 PeckShield 創(chuàng)始人蔣旭憲和 imToken 團隊的 CSO Blue進行了溝通交流。

蔣旭憲表示，對于區(qū)塊鏈行業(yè)，最近發(fā)生的幾期安全事故，能夠有效地引導從業(yè)者提高對區(qū)塊鏈安全問題的認知。同時，也有助于提高大眾對于區(qū)塊鏈數(shù)字資產(chǎn)的爭取認識。

據(jù)了解，已經(jīng)有不少區(qū)塊鏈團隊準備拿出部分預算尋找安全團隊或者安全解決方案。imToken 團隊的 CSO Blue 則表示，DNS 劫持不好防范，網(wǎng)頁錢包收到預警后應當向用戶做出安全提示。面對 DNS 劫持，網(wǎng)頁版錢包沒有招架之力，經(jīng)歷相關事件后估計大家會對此比較悲觀。

對于用戶來講，冷錢包或者相對更安全的 App 錢包，是比網(wǎng)頁錢包更安全的方式。而整個行業(yè)也需要加強對用戶的安全教育，普及區(qū)塊鏈數(shù)字資產(chǎn)的安全教育知識，為區(qū)塊鏈安全生態(tài)貢獻力量。