不是挟持DNS 而是BGP 黑客得以盗走价值1.7万美元的以太币

以太币(Ether)加密钱包服务MyEtherWallet在世界协调时间(UTC)周二(4/24)上午11点到下午1点(约台湾周二下午7点到9点)遭黑客将流量导至伪造的俄国网站,诱导MyEtherWallet用户输入凭证,并成功清空受害用户的帐号,盗走了价值1.7万美元的以太币,初期外界以为这只是寻常的DNS挟持(DNS hijacking),然而,网络安全专家发现它却是个攻击范围与规模都更大的BGP挟持(BGP hijacking)攻击。

BGP为Border Gateway Protocol(边界网关协议)的简称,可借由IP路由表或前缀来实现自治系统(AS)之间的可达性,大多数的ISP企业都必须利用BGP来与其它ISP创建路由连接。因此,所谓的BGP挟持通常得先黑进ISP企业或其它网络架构供应商的BGP服务器,再传播错误的路由信息以干预流量。

根据网络安全专家的推测,黑客借由挟持BGP把Amazon Route 53服务的流量导至黑客所操纵的DNS服务器,再将访问MyEtherWallet的用户导向伪造的网站。

Amazon Route 53为AWS上的DNS服务,一开始外界将矛头指向Amazon Route 53时,AWS很快就发布声明,指出不论是AWS或Amazon Route 53都没有遭到入侵,也未被危害,应是上游的ISP企业被黑,黑客并向其它与该ISP企业串联的网络发布了Route 53 IP地址的子集。

网络安全研究人员Kevin Beaumont认为,这类攻击的等级已可访问ISP企业的BGP服务器与计算资源,MyEtherWallet不太可能是黑客唯一的攻击目标。

不过,黑客在该攻击中的败笔是未取得有效的SSL凭证,因此当MyEtherWallet用户访问假冒的网站时,浏览器即会跳出警告消息,警觉性较高的用户便得以安然脱身。

至于MyEtherWallet也发布了官方声明,呼吁用户在访问该站时应确认网址的真伪,并使用硬件钱包来存储加密货币。此外,MyEtherWallet也强调若用户访问了钓鱼网站或遗失了自己的私钥,该站没法将资金复原也不能冻结帐号。