資安研究人員指出，洋蔥路由(The Onion Router, Tor)網路存在大量惡意出口節點，駭客可藉由SSL Strip手法進行中間人攻擊取得網路傳輸資訊，當發現造訪目標為Bitcoin Mixer服務時即發動攻擊，透過置換使用者所輸入之錢包位址，竊取比特幣。

 

Tor網路為開源之匿名傳輸網路架構，透過散布在全球逾7,000個志願節點傳遞流量，藉此躲避追蹤與流量分析，達成保障使用者隱私之目的。每一流量於過程中均經過多重加解密程序與至少通過3個節點傳送流量，此3個節點依序為入口節點、中繼節點及出口節點，入口節點至出口節點間之流量皆經過加密，同時入口節點僅知道流量來源，至於出口節點則僅知道流量目的地。

 

資安研究人員發現，由於Tor網路並未嚴格審核該網路上之節點，使駭客得以部署惡意出口節點，進而挾持使用者連線至特定網站之流量。經研究人員揭露，今年5月下旬，駭客已控制Tor網路上約24%之出口節點，意旨每4個出口節點中便有一個惡意出口節點，截至8月8日止，仍有超過10%之出口節點被駭客操縱。

 

駭客透過SSL Strip手法攻擊連線至Bitcoin Mixer服務之流量，Bitcoin Mixer服務可協助使用者將比特幣於不同錢包中進行轉移，過程會先將比特幣分散至數以千計之臨時錢包，最終再轉移至目標錢包；而SSL Strip攻擊為駭客介入HTTPS流量，並將其變更為HTTP流量之過程，移除HTTPS流量重新定向為HTTP流量之能力，讓駭客得以存取未加密之網頁流量，透過置換Tor網路使用者所輸入之目標錢包位址，藉此盜走比特幣。

資料來源：

https://medium.com/@nusenu/how-malicious-tor-relays-are-exploiting-users-in-2020-part-i-1097575c0cac

Hackers exploited Tor exit relays to generate bitcoin: research

https://www.zdnet.com/article/a-mysterious-group-has-hijacked-tor-exit-nodes-to-perform-ssl-stripping-attacks/