以太坊钱包 Myetherwallet 遭受DNS劫持，价值近15万美元的以太币被盗

4月24日晚9点，网络上最受欢迎的用来存储并发送以太以及ERC20代币的网页版钱包MyEtherWallet遭受DNS劫持攻击，目前共216个以太被盗，损失资金约为15.3万美元。大量用户反馈登录MyEtherWallet后出现10秒倒计时，然后钱包内余额就会被全部转走。据MyEtherWallet团队表示，此次攻击并非MyEtherWallet原因，目前，谷歌团队已经解决了这一问题。

（以太坊（英语：Ethereum）是一个开源的有智能合约功能的公共区块链平台。通过其专用加密货币以太币（Ether，又称“以太币”）提供去中心化的虚拟机（称为“以太虚拟机”Ethereum Virtual Machine）来处理点对点合约。）

该公司迅速反应，提醒用户注意这一威胁，并于美国东部时间上午7:29——黑客攻击开始后的15分钟内，MEW发布一篇推文，确认Myetherwallet服务器遭到DNS劫持攻击：多台DNS服务器被劫持，用户被重新定向跳转到一个钓鱼网站。这并非@myetherwallet的原因，我们正在验证被劫持服务器，并将尽快解决这一问题。

问题第一次浮出水面是一位 MEW 用户在 Reddit上发帖，称MEW遭受到了DNS劫持攻击（Think I got scammed/phished/hacked）。

“打开myetherwallet，就看到角落显示myetherwallet连接证书无效。”

“我一登录钱包，就显示10秒的倒计时，然后就显示一条tx将我钱包里的所有资产发送到另一钱包地址'0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29'。我根本不知道发生了什么。”

“尽管我身体的每个细胞都告诉我不要尝试登录，但我还是强行登录了。在我强行登陆后，出现约10秒钟的倒计时，然后我钱包中的ETH就被发送到另一个钱包中！”

在该用户发帖时，总计约 524ETH 收已经被转入到两个黑客地址中：

0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29

0xf203a3B241deCAFD4BdEBBb557070db337d0Ad27

而早在4月23日午夜时分，MyEtherWallet的用户开始注意到一些奇怪的事情。因为需要将钱包和服务进行连接，用户就会看到一个未签名的SSL证书，这是一个在网站的验证上显示不完整的链接。这是不寻常的，但面对这一点网民们经常就不假思索直接点击链接了。

但是任何点击这个证书警告的人都被重新定向到俄罗斯的服务器上，而这个服务器则会开始清空用户的钱包。从钱包活动看，袭击者在袭击被停止前两小时内在Ethereum至少拿走了13000美元，而袭击者的钱包早已在以太坊中存储了超过1700万美元。

目前，MEW在官推上已经就事件处理结果发推声称一切已经回复正常，并认为本次事件并不属于MEW安全问题，而是由于Amazon’s DNS遭到劫持所导致。

黑客们似乎并没有直接袭击到MyEtherWallet本身，相反，他们攻击了互联网的基础设施，拦截了对myetherwallet.com 的DNS请求，使位于俄罗斯的服务器看起来是IP地址的合法所有者。受到影响的大多数用户都是使用谷歌的8.8.8.8 DNS服务。然而，由于谷歌的服务是递归的，因此很可能通过与亚马逊的“路由53”系统（“Route 53”）的伪造通信从而获得不良列表。

在一份声明中，Amazon 的Web Services的代表强调：服务本身的DNS系统从来没有瘫痪过。声明中写道：“AWS和亚马逊的“路由53”都没有被黑客攻击或是瘫痪过。一个上游的互联网服务提供商受到了恶意破坏，然后黑客利用那个ISP将这个路由53的IP地址的子集传递给与这个ISP相关联的其他网络。”

到目前为止，MyEtherWallet是唯一被确认受到攻击的服务器，尽管其他服务器也可能受到重新定向的影响。

BGP袭击长期以来被称为互联网的一个基本弱点，它在不用验证的条件下就接收了路由。DNS攻击也是常见的——在2013年，叙利亚电子军就利用DNS攻击袭击了一系列网站。尽管如此，BGP和DNS漏洞在大事件中发生都是非常罕见的，尤其是在如此高调的盗窃中。研究人员Kevin Beaumont在一篇文章中写道：将两者介乎在一起发起袭击的，这是我见过最大规模的一次，这突显了网络安全的脆弱性。