Хакеры похитили более 20 миллионов долларов у пользователей сети Ethereum

Хакеры похитили более 20 миллионов долларов у пользователей сети Ethereum

По данным китайской компании по кибербезопасности Qihoo 360 Netlab, группа хакеров похитила из приложений сети Ethereum монеты на сумму более 20 миллионов долларов. Атака стала возможна из за незащищенных сетевых портов нод Ethereum (RPC порт по умолчанию :8545) .

RPC интерфейс предназначен для предоставления доступа к API (программному интерфейсу), который используется приложениями для доступа к данным и проведения операций в сети Ethereum. Он используется программами управления майнингом, кошельками и блокчейн-эксплорерами.

Интерфейс RPC позволяет выполнять критически важные с точки зрения безопасности операции, например,  получить приватные ключи и переводить средства. Поэтому доступ к RPC интерфейсу должен быть строго ограничен, как в пределах сети, так и локально для приложений, выполняемых в системе.

Поэтому RPC по умолчанию отключен, и при его его активации разработчик получает соответствующее предупреждение, о необходимости соблюдения мер безопастности.

Большинство современного программного обеспечения, базирующегося на Ethereum требует доступа к RPC, но в большинстве случаев он разрешается только для локальной системы (localhost - 127.0.0.1), то есть даже при его активации он доступен только для приложений, выполняемых на той же физической машине.


Однако многие пользователи не любят читать документацию.


На протяжении многих лет отдельные разработчики лепили свои приложения, не особо задумываясь над тем, что они делают. 

Это не новая проблема, спустя несколько месяцев команда Ethereum Project разослала официальное предупреждение о безопасности. В нем говорилось, что многие майнинг-пулы работают с открытым во внешнюю сеть RPC-интерфейсом.

Попытки обнаружения уязвимых систем не прекращались никогда. Но после взрывообразного роста цен на криптовалюты в конце 2017 года появилось много новых желающих получить легкие деньги, используя уязвимости и дырки, оставленные нерадивыми разработчиками.

Один из самых массовых всплесков активности по сканированию Ethereum JSON RPC был отмечен в ноябре 2017 года. Во многих случаях это сканирование было успешным, поскольку например одна из версий кошелька Parity и реализации eth - реализации полной ноды, написанной на C++ поставлялись изначально с открытыми для внешнего мира портами. 


В мае 2018 года Satori - один из крупнейших IoT ботнетов тоже был замечен в сканировании портов Ethereum RPC.

По мнению Qihoo 360 Netlab, на тот момент хакерам удалось получить всего 3.96234 Ether (~$2,000-$3,000).


Однако пересмотрев эти исследования позже, команда Netlab заявляет, что атака на RPC никогда не прекращалась, а напротив только усиливается. Новые группы постоянно подключаются к ней. Одна из групп хакеров оказалась более везучей и смогла вывести около 20 миллионов долларов в Ether из уязвимых систем.

Поскольку в открытом доступе на github можно найти готовые инструменты для автоматического сканирования и взлома портов Ethereum, оставлять их открытыми фактически является финансовым самоубийством.

Qihoo 360 Netlab настоятельно рекомендует всем владельцам online-кошельков, майнинг-ферм и пулов внимательно проверить настройки своих систем и провести аудит безопасности.

Читайте также

9292018-09-25

Джастин Сан: хватит использовать Ethereum, Tron в 100 раз быстрее

Основатель и генеральный директор Tron, Джастин Сан заявил, что разработчики должны создавать децентрализованные приложения для блокчейна Tron, а не Ethereum. Это заявление появилось незадолго после объявления о том, что Ethereum уже заполнен до максимального предела.

Ethereum, Альткоины
28862018-08-12

Обзор рынка основных криптовалютных пар за текущую неделю (с 06.08.2018 по 12.08.2018)

В сегодняшнем обзоре, как всегда, подводим итоги уходящей недели, анализируем общую динамику цен

Аналитика, Bitcoin, Ethereum, Ripple

Последние статьи из раздела Ethereum

Свежее видео на канале

Выбор редакции

148452017-12-10

Bitcoin: пирамида или нет?

С января 2009 года, когда был сгенерирован первый генезиз-блок bitcoin-сети, прошло уже девять лет, но до сих пор всякого рода "эксперты" ломают копья в спорах: являются ли криптовалюты финансовой пирамидой или нет. Быстрый рост доходности bitcoin и прибыли тех, кто раньше стал участником этой системы, пугает схожестью с пирамидами 90-х.

Bitcoin
109162018-04-28

on-chain и off-chain управление: за и против

Чтобы понять важность управления блокчейном и дискуссии вокруг этого вопроса, сначала нужно определить что такое управление блокчейном, его роль и цели. Управление блокчейном в сфере криптовалют состоит из двух пунктов: правил протокола (кода) и экономических стимулов, на которых основана сеть.

Blockchain
74662018-07-28

Грузинская криптокухня. Выбираем блюда

Ни для кого не секрет тот факт, что Грузия является одной из самых лояльных стран постоветского пространства, где не только уютно, но и выгодно вести бизнес. Это стало возможным буквально за последние 10 лет благодаря колоссальным реформаторским усилиям сменявших друг друга руководителей страны, каждый из которых стремился сделать её лучше и богаче. Как именно обстоят дела здесь с криптовалютным бизнесом попытаемся разобраться в нашем сегодняшнем материале.

Право, Майнинг, Регуляторы
61462018-06-25

Поиск серых майнеров в недрах Chrome и Opera

Вы уже знаете как javascript-майнеры попадают на страницы интернет-ресурсов. Теперь попробуем разобраться как же выяснить какая именно из множества открытых вкладок использует Ваши ресурсы для добычи криптовалюты.

Безопасность
41182018-09-13

Три быка, которые могут спасти крипторынок

Несмотря на упадок криптовалютного рынка, долгожданное участие институциональных инвесторов в сделках с цифровыми активами уже не за горами. Такие известные фирмы, как Coinbase, Nasdaq и Bakkt уже вошли в мейнстрим, осталось только подождать, пока это сделает весь рынок цифровых активов.

Мнение
36022018-06-08

Принимаем оплату в bitcoin: Часть первая, теоретическая

Интернет полон статей о том, какое прекрасное будущее готовит нам blockchain, как это "стильно, модно и инновационно". Однако информации, как практически воспользоваться всем этим великолепием, крайне мало. Попробуем частично восполнить этот пробел.

Обучение