Более 20 миллионов долларов Ethereum украденных из несовместимых кошельков
Китайская корпорация кибербезопасности Qihoo 360 Netlab обнаружила, что хакеры нацелились на кошельки Ethereum, настроенные с открытым портом 8545, причем один атакующий грабил более 20 миллионов долларов от различных жертв.
Вектор атаки, используемый преступниками, существует как функция большинства кошельков Ethereum, в которых программное обеспечение было настроено для отображения интерфейса RPC (Remote Procedure Call) на порту 8548. Эта функция невероятно полезна для сетевых администраторов, что позволяет им запрашивать службы от кластеров машин, не понимая деталей сети.
Включение RPC на кошельках в защищенной сети, защищенная за брандмауэром, изолированная от общедоступного Интернета или управляемая иным образом, может быть мощным инструментом для деловых или корпоративных сетей, которые используют программное обеспечение для запроса или взаимодействия с кошельками для управления средствами, Например, операции по добыче, которые управляют группой машин, могут использовать RPC через локальную сеть для перемещения своих минных монет на централизованную безопасную систему для уменьшения площади поверхности атаки и выгрузки их на холодный кошелек.
PEBCAK: существует проблема между стулом и клавиатурой
Интерфейс обычно отключается по умолчанию в большинстве приложений на базе Ethereum, требуя, чтобы разумно осведомленный пользователь погрузился в настройки приложения, чтобы изменить параметры RPC, которые в самой последней версии клиента Geth вызывают всплывающее предупреждение о возможные проблемы безопасности. Разработчики, являясь любопытными существами, которые есть у них, склонны возиться с настройками приложений, чтобы понять все возможности программного обеспечения. К сожалению, это может привести к тому, что разработчики забыли «разблокировать» определенные коммутаторы или упустить из виду важность конкретных функций.
Постоянная проблема для разработчиков Ethereum
Исследователи из 360 NetLab изначально обнаружили уязвимость в начале марта, объявив в Twitter, что злонамеренные актеры только украли примерно 4 эфира от выставленных клиентов.
