「imtoken官方」黑客只偷走了30万美元，却给网页钱包判了死缓

　　本周二晚，全网最知名的以太坊钱包查看网站 MyEtherWallet 因为部分地区 Google DNS 被劫持，导致大量用户访问地址后跳转到钓鱼网站，损失超过 30 万美元的数字资产。

　　具体细节区块律动 BlockBeats不多阐述，简单来讲就是黑客利用互联网运营商网络协议中一个存在很久的漏洞干扰了‘网站导航员’，导致用户访问 A 网站的时候跑到 B 网站去了，如果 B 网站是模仿 A 的钓鱼网站的话，那么用户是很难辨别真假，而在 B 网站上的任何操作都会被黑客记录，包括账号密码、上传的文件、操作行为等。

　　早在 3 个月前就曝光过该安全风险的 Blue Protocol 公司今天凌晨再次发出安全预警，MyEtherWallet 网站的 DNS 劫持依旧持续中，请不要访问。

　　针对这一事件，区块律动 BlockBeats与区块链安全团队 PeckShield、imToken 钱包技术专家进行讨论之后，认为这次 MyEtherWallet 用户资产被钓鱼事件主要责任在用户和运营商，用户和项目方的安全意识有待提高。

　　但这次事件也宣布了网页钱包工具的即将死亡。

　　MyEtherWallet是一家什么样的网站？

　　2017 年进入币圈的用户对这家网站应该比较熟悉，这是一个基于网页的以太坊钱包生成、查看工具。在钱包类 App 还没有流行的时候，大家要么使用客户端版的钱包，要么就是使用网页版的 MyEtherWallet。

　　用过的人都知道，MyEtherWallet 对于中国人这种重视使用体验的群体来讲非常不友好。但这并不妨碍 MyEtherWallet 成为第一大以太坊网页钱包应用。

　　区块律动 BlockBeats发现 MyEtherWallet 的月 PV 在 1400 万，用户量非常大，停留时间也很长，达到了 4 分半。

　　而从 MyEtherWallet 的访问区域来看以美国、俄罗斯、越南、日本为主，这些国家并没有很流行的钱包类 App 供用户使用，是他们使用网页版钱包的主要原因之一。

　　MyEtherWallet 的访问流量来源中，有 75% 的流量是直接访问，也就是直接在浏览器的地址框中输入或者是点击浏览器的收藏夹进行访问。直接访问，这很符合 MyEtherWallet 每时每刻都在提醒用户的安全指引。

　　今年年初暴涨的让 MyEtherWallet 团队容不得任何批评，不愿意承认自家的网站存在被 DNS 劫持的风险。

　　今年 1 月 9 日，去中心化二步验证团队 Blue Protocol 在 Twitter 连续发布多个针对 MyEtherWallet 的 DNS 安全预警，称多个地区的用户表示自己访问 MyEtherWallet 的时候会被导航到假的 MyEtherWallet 网站。

　　此时引发大量讨论，MyEtherWallet 团队对此回应称‘打击谣言传播’，并配上鸡汤文‘阳光总在黑暗之后破晓’。

　　以太坊基金会的 Hudson Jameson 甚至称这个团队‘令人恶心’‘传播谣言来吸引用户使用他们的服务’。

　　而如今，反驳这个安全预警的两人都被网友啪啪打脸。

　　为什么 MyEtherWallet 团队会如此有信心？或许是因为被高涨的流量冲昏了头脑，MyEtherWallet 的网站流量在 1 月份的时候达到历史最高值，使其成为网页钱包工具中流量最高的网站。

　　他们天真的认为这种存在于传统互联网的黑客套路不可能出现在区块链上，但却忘记了即便是区块链网络也需要走运营商的网络，再高级的技术也逃不过降维打击。

　　MyEtherWallet已经尽到了所有可能的告知义务

　　每次用户登陆，页面上任何可以放提示信息的地方，都放满了对用户的安全提示信息。几乎每时每刻，MyEtherWallet 都在提醒用户：MyEtherWallet 不是一个银行，我们不帮你保存任何资产，你要明白区块链数字资产的含义，要明白你在这里使用的不是一个‘钱包’，认准我们的网站，记得安装 metamask 插件，丢了钱是你自己的问题。

　　但是用户，根本不用 metamask，更不懂区块链上的数字钱包具体的含义，也不看浏览器地址上的绿条条，只关心自己今天赚了多少钱，亏了多少钱。

　　然而这些努力在 DNS 劫持面前，失去了意义。

　　网页钱包的死刑