Отчет: Неверные клиенты Ethereum достигли взлома около 20 миллионов долларов

Согласно сообщению, опубликованному 11 июня, группа компаний «Эфириум», которая, как сообщается, была похищена группой хакеров, эксплуатирующей неправильно сконфигурированных клиентов Ethereum, составила около 20 млн. Долл. США.

Хакеры смогли получить доступ к приложениям, используя программное обеспечение Ethereum, которое настроило свой интерфейс для предоставления удаленного вызова процедур (RPC). Интерфейс RPC позволяет третьим сторонам запрашивать, взаимодействовать и извлекать данные из службы на основе Ethereum, то есть те, у кого есть доступ, могут получить секретные ключи, просмотреть личную информацию владельца и даже перевести средства.

Хотя большинство приложений отключает этот интерфейс по умолчанию, и даже когда он включен, он обычно настроен только для доступа к приложениям, которые запускаются локально. Однако разработчики не всегда сохраняют эту конфигурацию и иногда перенастраивают своих клиентов Ethereum, не зная опасности.

Проект Ethereum давно известен возможностью использования этой уязвимости и отправил официальное уведомление по безопасности в качестве предупреждения для своих пользователей еще в августе 2015 года, что указывает на то, что вероятность атаки была низкой, но ее потенциальная серьезность была высокой.

По данным компании Bleeping Computer, китайская кибербезопасная компания Qihoo 360 Netlab определила в марте, что по крайней мере один «актер угрозы» проводил массовое сканирование для открытого программного обеспечения Ethereum с интерфейсами RPC специально для порта 8545. В то время 360 Netlab заявили в твитом, что «[так] далеко он только получил 3,96234 эфира [~ $ 2000- $ 3000] на свой счет, но эй, это бесплатные деньги!»

11 июня, после повторного анализа исследования, команда Netlab заявила, что сканирование для порта 8545 никогда не прекращалось, но фактически увеличилось по мере того, как присоединились еще больше «актеров угрозы». Текущая цифра сифонного эфира составляет 38 642,7 (18,1 млн долларов США).

Во время публикации ни одна команда Ethereum, ни соучредитель Виталий Бутерин не ответили на запрос о комментариях.

cointelegraph.com