自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
60.00% 40.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

区块链信息账户遭恶意Tor节点劫持事件揭秘

2014-11-29 09:00:00
收藏

区块链信息安全事件分析

近期,有关用户比特币从Blockchain.info被盗的报道引起了广泛关注。许多用户报告称其账户遭到入侵,资金被转出。那么,是什么导致了Blockchain.info近期账户安全事件的激增?

安全漏洞的主要成因

根据Reddit上Blockchain官方账号的说明,其安全问题的三大主要成因包括:

1. 密码强度不足:使用包含多种字符的强密码是基本要求,同时建议为不同账户设置不同的密码。

2. 钓鱼攻击:通过直接在浏览器地址栏输入Blockchain.info的网址访问网站,可以有效避免钓鱼攻击。此前,我们曾报道过通过Google广告推广出现在搜索结果首位的Blockchain.info钓鱼网站。由于Reddit用户的及时举报,该钓鱼网站很快被处理。

3. 恶意Tor节点:最新导致用户巨额BTC损失的安全问题源于恶意Tor节点。这种攻击方式实际上是一种简单而古老的中间人攻击(MITM)。

技术原理与防御措施

在Tor网络中,出口节点虽然不知道流量来源,但可以拦截未加密的流量。当用户访问Blockchain.info时,恶意出口节点会记录发送的数据,窃取受害者的钱包ID和密码。虽然Blockchain等网站通常使用SSL加密传输敏感信息,但恶意出口节点成功剥离了Blockchain.info的SSL加密。如果用户注意到左上角显示的是http://而非https://连接,就说明信息未加密,可能遭受中间人攻击。

目前,Blockchain已采取以下防护措施:

1. 建立.onion镜像网站,确保流量完整性和加密性;

2. 修复了可能连接SSL剥离版本网站的漏洞;

3. 采用HSTS(HTTP严格传输安全)技术,强制所有请求通过HTTPS传输。

建议与总结

对于任何HTTP连接,Blockchain可以设置静态页面,提示用户使用HTTPS重新连接,这样就能设置HSTS头,确保用户通过安全的加密连接访问网站。

总体而言,Blockchain.info是一个可靠且专业的钱包服务商,其主动识别并解决了本无需承担的安全问题。对于比特币新手,我们推荐使用该钱包服务。其移动应用程序设计精美,响应迅速,使收发币操作变得简单便捷。

展开阅读全文
更多新闻