Хакери викрали понад 20 мільйонів доларів у користувачів мережі Ethereum

За даними китайської компанії з кібербезпеки Qihoo 360 Netlab, група хакерів викрала із додатків мережі Ethereum монети на суму понад 20 мільйонів доларів. Атака стала можлива через незахищені мережні порти нод Ethereum (RPC порт за замовчуванням :8545) .

Інтерфейс RPC призначений для надання доступу до API (програмного інтерфейсу), який використовується додатками для доступу до даних і проведення операцій в мережі Ethereum. Він використовується програмами управління майнінгом, гаманцями та блокчейн-експлорерами.

Інтерфейс RPC дозволяє виконувати критично важливі з точки зору безпеки операції, наприклад, отримати приватні ключі та переводити кошти. Тому доступ до RPC інтерфейсу повинен бути строго обмежений, як в межах мережі, так і локально для додатків, що виконуються в системі. до RPC, але в більшості випадків він дозволяється тільки для локальної системи (localhost - 127.0.0.1), тобто навіть при його активації він доступний тільки для додатків, що виконуються на тій же фізичній машині. Проте багато користувачів не люблять читати документацію. особливо замислюючись над тим, що вони роблять. 

Це не нова проблема, через кілька місяців команда Ethereum Project розіслала офіційне попередження про безпеку. У ньому йшлося про те, що багато майнінг-пулів працюють з відкритим у зовнішню мережу RPC-інтерфейсом.

Спроби виявлення вразливих систем не припинялися ніколи. Але після вибухоподібного зростання цін на криптовалюти наприкінці 2017 року з'явилося багато нових бажаючих отримати легкі гроші, використовуючи вразливості та дірки, залишені недбайливими розробниками. У багатьох випадках це сканування було успішним, оскільки наприклад одна з версій гаманця Parity та реалізації eth - реалізації повної ноди, написаної на C++, поставлялися спочатку з відкритими для зовнішнього світу портами. 

У травні 2018 року Satori - один з найбільших IoT ботнетів теж був помічений у скануванні портів Ethereum RPC.

На думку Qihoo 360 Netlab, на той момент хакерам вдалося отримати всього 3.96234 Ether (~$2,000-)..

Проте переглянувши ці дослідження пізніше, команда Netlab заявляє, що атака на RPC ніколи не припинялася, а навпаки тільки посилюється. Нові групи постійно підключаються до неї. Одна з груп хакерів виявилася більш щасливою і змогла вивести близько 20 мільйонів доларів в Ether з вразливих систем.

Оскільки у відкритому доступі на github можна знайти готові інструменти для автоматичного сканування та злому портів Ethereum, залишати їх відкритими фактично є фінансовим самогубством. рекомендує всім власникам online-гаманців, майнінг-ферм та пулів уважно перевірити налаштування своїх систем та провести аудит безпеки.