研究：駭客挾持Tor流量以竊取比特幣

一名代號為Nusenu的獨立安全研究人員在本周指出，Tor網路中存在著大量的惡意出口節點，藉由SSL Strip中間人攻擊取得HTML流量，而且只在發現造訪目標為Bitcoin Mixer服務時發動攻擊，並將使用者所輸入的錢包位址置換成自己的。

Tor網路是個開源的匿名傳輸架構，藉由3道加密程序與3個節點來傳送流量，這3個節點依序是入口節點、中繼節點與出口節點，從使用者端到出口節點之間的流量都是加密的，只有入口節點知道流量的來源，也只有出口節點知道流量的目的，且從出口節點到目標網站之間的連結並未加密。Tor網路上的節點是由志工組成，估計全球至少有7,000個節點。

然而，Nusenu卻發現，由於Tor專案並未嚴格審核該網路上的節點，使得駭客得以部署惡意的出口節點，挾持使用者連至網站的流量，在今年5月下旬時，駭客控制了Tor網路上24%的出口流量，即便是在他提出警告之後，截至今年的8月8日，仍有超過10%的出口流量被駭客操縱。

駭客只透過SSL Strip手法攻擊那些連向Bitcoin Mixer服務的流量，Bitcoin Mixer服務讓使用者把比特幣從一個錢包轉移到另一個錢包，但當中會先將比特幣打散，先傳輸到數以千計的臨時錢包，再轉移到目標錢包；SSL Strip指的是駭客介入了將HTTP流量變更為HTTPS流量的過程，移除了將HTTP流量重新定向為HTTPS流量的能力，讓駭客得以存取未加密的HTTP流量，置換Tor用戶所輸入的目標錢包位址，用偷天換日的方式盜走比特幣。

Nusenu說，他在去年底就曾知會Tor專案，當時該專案原本要指派專人來改善此事，然而，隨著武漢肺炎（COVID-19）疫情的爆發，人力的裁減讓該計畫不了了之。

由於最終連向Bitcoin Mixer服務網站的流量是採用HTTP協定，因此只要這些網站啟用HSTS（HTTP Strict Transport Security）或HTTPS Everywhere，都能避免相關的攻擊，但在Nusenu察覺攻擊行動的當下，並未有任何Bitcoin Mixer網站採行HSTS與HTTPS Everywhere政策。