Electrum钱包遭钓鱼攻击,约245个BTC失窃

加密货币钱包Electrum因新型钓鱼攻击已经损失近250个比特币(约91.4万美元)。Electrum已经确认了这一攻击的真实性。攻击者通过创建一个虚假的钱包来诱导用户提供密码信息。

Electrum钱包遭钓鱼攻击,约245个BTC失窃

Reddit用户u/normal_rc说:攻击者设置了大量的恶意服务器。一旦用户的Electrum钱包连接到这些服务器,那么他们在发送比特币交易的时候就会看到一条看似是官方发布的信息,告诉他们升级Electrum钱包,实际上其中包含了欺诈性的URL。
中招的用户表示他们尝试重新登录钱包,但都失败了,因为他们已经交出了双因素认证码——而事实上,Electrum官方钱包登录是不需要提供这个信息的。攻击者趁此机会清空了钱包余额。
某受害者表示:我登录钱包之后,马上就让我提供双因素认证码,我觉得有点奇怪,通常Electrum只会在发送交易的时候才需要这个认证码。
后来我多次尝试发送交易都显示操作错误,最高手续费不得超过50聪/字节。因此我不得不在另一台电脑上还原钱包设置,这才发现资金全部被转走了。
u/normal_rc说,被转走的资金都流入了一个主要的持有地址,目前其中包含约245个比特币。

Electrum团队已经在官推中公布了本次攻击事件,并表示“这是一场针对Electrum用户的持续性钓鱼攻击”,他们提醒用户在登录之前检查客户端来源的真实性。该团队公布了其官方网站,在其他地方下载的Electrum客户端可能都是有问题的。