由Myetherwallet事件引发的思考：能否在DNS攻击中全身而退

事件回顾：
4月24日晚9点，网络上最受欢迎的以太坊钱包 Myetherwallet（MEW）遭受DNS劫持攻击。发生的一连串的事故，让很多用户在一脸懵逼中钱包被清空，两个小时的时间里，黑客盗走至少13000美元，而其账户早已存储价值高达1700万美元的以太坊。一度怀疑是平台遭黑客入侵，毕竟此前发生加密货币交易平台被黑客攻击的案例并不少见。

问题第一次浮出水面是一位 MEW 用户在Reddit上发布一条帖子称自己可能被骗了——Think I got scammed/phished/hacked，该用户登录Myetherwallet的时候，仅仅10秒钟的时间，钱包里的ETH就被发送到另一个钱包中。

虽然收到了不安全的提示，但他仍然尝试继续登陆。

根据其描述，在进入Myetherwallet网站的时候，Chrome提示“网站不安全”，“尽管身体的每个部分都告诉我不要尝试登录”，但还是没控制住自己手。

等到从Etherscan上看到交易已经完成，这时他才意识自己可能是被骗了。在该用户发帖时，总计约 524ETH 收已经被转入到两个黑客地址中。

据了解已经有不少用户遭遇了这种情况，但也有一些人看到浏览器提醒SSL证书未签名，便没有继续登录，避免了遭遇损失。

不久后MEW发布一篇推文，确认Myetherwallet服务器遭到了这次的攻击事件，建议用户使用MyEtherWallet的本地（脱机）副本。随后给出答复称MyEtherWallet已经恢复正常，并给出了事故的发生原因，并非MyEtherWallet的安全问题，而是由于Amazon的DNS遭到劫持所导致。

根据这次事故发生情况来看，攻击持续了大约两个小时，攻击者利用多个账户转走了受害者的ETH，总价值超过13000美元。而已知的账户地址能够看到详细的交易记录，基本已经全部被提出。

黑客在这次攻击中利用的BGP攻击技术。BGP指的是边界网关协议，是将信息从网络的一部分路由到另一部分的标准网关。就是说这种技术是由一个网络服务提供商或是其他网络基础设施提供者进行操作。通常，取消这样的劫持需要侵入由ISP或其他因特网基础设施提供商操作的BGP服务器。

一直以来，BGP劫持一直被称为互联网的一个根本弱点，它被设计为无需验证就接受路由。但这种攻击方式非常罕见，尤其是在如此大规模的事件中。此次的攻击手法如此之强大，范围大到了主要的互联网服务提供商，和强大的DNS流量处理能力。极有可能MyEtherWallet.com不是唯一的目标。但目前为止，MyEtherWallet是唯一确认受到此类攻击的服务器。

DNS攻击的表现形式有很多种，通常都针对连接互联网的域名服务器。如果你身处加密货币领域，防止DNS攻击不是不可能的。

DNS攻击如何运作：
这次的DNS攻击影响了大量的大型网站，对于Myetherwallet用户来说更是付出了巨大的代价。

通过现有的70多万个可行路由，从A点到B点或者Z点，又或者是任意一点都可以有很多不同的路径。大多数情况下，这些由不同的互联网供应商运作的链式结构都能够相互沟通，但偶尔会出现意外。通常这些漏洞都是小范围的，是由配置错误导致的。不过，具有报道称：

有时候（BGP漏洞）是带有恶意目的的。可以通过重新路由前缀来被动地分析数据。

在漏洞爆发的这两个小时内，IP范围内的服务器只响应了myetherwallet.com的查询。部分人已经注意到了服务器发生故障。任何由Route53处理的DNS解析器都只能查询到被BGP漏洞所影响的主服务器。

可以从下图中更直观地看到正常的网络与被攻击的网络之间路由传输的差别。

（运作正常的网络）

（遭到DNS攻击的网络）

好消息是，在大多数情况下，识别BGP劫持并不需要使用互联网协议结构中的主服务器。首先，浏览器的https地址会出现错误。如果浏览器地址栏的“https”显示为绿色，那么就证明你访问的网站是安全的。如果出现红色或者浏览器发出了警告信息，你就不应该再进行下一步操作了，即使URL是正确的。

保管好你的币:
其实检测BGP漏洞的责任在网络管理者。把加密货币存在中心化的交易所是有风险的，与Myetherwallet等网站以及Etherdelta等去中心化交易所连接也是一样——这两个网站都遭到了DNS攻击，投资者几乎没有选择。有些公司已经开始研究相关技术，提醒加密货币交易所用户承担DNS造成的风险，但距离实际应用还有很远。

为了正常的工作和生活，你不需要每时每刻都担心着网络被劫持或攻击。但当你进入在线钱包和交易所时，一定要记得检查https地址。如果你得直觉告诉你有些不对劲，那么就应该相信你的直觉，留意警告信息，这很可能帮你保住你的币。