黑客利用Java 0day漏洞窃取比特币

jopen 11年前

  正如此前文章所说的,比特币的匿名性质既是特性也是 bug,如果比特币失窃,矿工们只能自认倒霉,要将失窃的财产追回来几乎是不可能的任务。当比特币的价值达到了令人难以置信的高度,它不可避免会成为某类黑客的目标。

  美国东部时间 4 月 10 日晚上,一位 Mt.Gox 用户被人利用 Java 漏洞盗走了 34 比特币,虽然数量不多,但它的价值也相当于 5 千美元(根据目前的比特币美元兑换率)。他在比特币论坛上描述了整个过程,这种入侵方法非常典型:有人首先在聊天窗口发布了链接,声称 Mt.Gox 将宣布交易 litecoins(另一种受欢迎的数字货币),这个链接当然是恶意链接,它先载入 Java applet,利用 Java 0day 漏洞进行跨站脚本注入攻击,它会下载恶意程序(AdobeUpdate-Setup1.84.exe)然后自动执行,整个攻击专为 Mt.Gox(最大的比特币交易平台)用户定制,它记录了所有的密码,登录进比特币钱包,窃取比特币。

来自: Solidot