在 2012 年就已成立,在國際上十分知名的虛擬貨幣「老牌」場外交易平台 LocalBitcoins 是一家總部位於芬蘭赫爾辛基的比特幣新創公司,該公司服務主要是提供比特幣與法定貨幣的場外交易。昨日, LocalBitcoins 的用戶傳出該平台發生駭客進行「網絡釣魚騙局」事件,導致部分用戶的比特幣被盜領。
LocalBitcoins 的運作模式為,用戶會先在平台上刊登交易的「廣告」,其他用戶有意要進行交易則回覆這些廣告,並同意以現金購買比特幣或通過網上付款。 LocalBitcoins 為用戶提供信譽和反饋機制,並提供託管和「衝突解決服務」。在 2013 年 12 月,LocalBitcoins 就已達到約 110,000 名活躍交易者,每日交易量為1,400 – 3,000 比特幣。
據 Reddit 論壇用戶 bu / bitcoinbabeau 發布的貼文表示,LocalBitcoins 被重定向到釣魚網站,該網站引導用戶輸入用戶的二次驗證碼(2FA, 登入帳戶時需通過的雙重保護機制),並清空所有比特幣。
駭客模仿 LocalBitcoins 刻出十分神似的釣魚網站,旨在模仿實際的 LocalBitcoins 論壇以欺騙用戶,用戶被提示登錄並輸入二次驗證碼。
在駭客獲得用戶的帳戶的訪問權限後,用戶存在帳戶中的比特幣便隨即被盜取所有比特幣。
「我認為我是第一個被清除的人,損失了 0.14 btc。 5 個受害者的資金都寄送到一個錢包。而這只是我們所知道的其中一個屬於攻擊者的錢包。」Reddit 用戶 tefl0ncc 寫道。而在 Reddit 上也有另一名用戶聲稱他損失了 11 BTC 總數。
而目前仍不清楚受害的規模有多大。
據目前了解,此次攻擊似乎是透過一種相當常見的 DNS 攻擊。駭客入侵了 DNS 的服務商,欺騙惡意將用戶從一個站點重定向到虛假網站點,在竊取用戶的敏感個人資訊後,使用它來訪問用戶的帳戶。
簡單的舉例來說,你在前往銀行的路上迷路了,有人假冒警察給你指了一條通往假銀行的路,你在存錢之後輸入了銀行密碼,假銀行就拿著你的密碼去真銀行領錢。照理來說,真銀行不該負責,而是真警察沒有做好被假冒的風險防護。(唯一不同的是,在網路世界你必須要詢問 DNS 才能知道銀行的所在)
因此,遭受攻擊的是 DNS 的提供商,而不是交易所本身。照理來說,交易所沒有承擔責任的義務。
去年,流行的以太坊和 ERC-20 代幣錢包 MyEtherWallet 也成為 DNS 欺騙攻擊的目標。用戶然後登錄到他們被重定向到的虛假站點,讓駭客可以獲取他們的資金。
這樣子的攻擊手法就算檢查網址仍無法辨別真偽(網址會顯示的一模一樣),只能連線的「憑證」來識別網站是否由是可靠的 DNS 服務商提供。
?相關報導?
國際貨幣基金組織 IMF 主席 – 拉加德:我們(央行)應該考慮發行數字貨幣的可能性
委內瑞拉石油幣——馬杜洛在區塊鏈上的陰謀,或將讓更多委民餓死
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
