Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов

Группа хакеров украла свыше $20 млн в Ethereum, используя уязвимость приложений и майнинговых ферм, сообщает китайский разработчик антивирусного ПО Qihoo 360 в понедельник. Взлом стал возможен из-за того, что определённые приложения Ethereum были сконфигурированы таким образом, чтобы выводить интерфейс RPC на порт 8545.

Интерфейс RPC (протокола дистанционного вызова процедур) используется для предоставления доступа к программируемым API, к которым могут обращаться сторонние сервисы и приложения для взаимодействия или получения данных оригинального сервиса на базе Ethereum, в том числе кошельков, используемых майнерами и другими пользователями.

Из-за своего назначения интерфейс RPC способен предоставлять доступ к некоторым уязвимым функциям, включая передачу приватных ключей, перемещение средств и т.д. Обычно он сопровождается предупреждением от оригинального разработчика о недопустимости его активации без необходимой защиты.

Почти всё ПО на базе Ethereum сегодня поставляется с RPC-интерфейсом и в большинстве случаев использует корректную конфигурацию, позволяющую взаимодействовать только с локальными запросами, то есть отправляемыми приложениями, работающими на том же устройстве.

Создатели Ethereum обращали внимание на требования к использованию RPC-интерфейса ещё в 2015 году вскоре после запуска своей основной сети. Несмотря на это, некоторые пользователи продолжают экспериментировать с ПО, часто не осознавая, какие уязвимости открывают их действия.

Сканирование сети в поиске открытых интерфейсов идёт уже несколько лет, однако особенно активным оно стало в прошлом году на фоне стремительного роста курсов криптовалют. Довольно часто злоумышленники добивались, чего хотели, в частности обнаружив версию популярного кошелька Electrum, который отдавал приватные ключи любому, кто знал об этой уязвимости. В мае 2018 к сканированию сети в поисках открытых RPC-интерфейсов подключился один из крупнейших существующих ботнетов Satori.

Специалисты из Qihoo 360 Netlab сообщили, что по крайней один хакер ищет незащищённые RPC-интерфейсы, выведенные на порт 8545, в марте этого года, в то время как до этого большая часть атак была связана с портом 3333. На момент первого сообщения общие потери пользователей неправильно сконфигурированных клиентов оценивались в 3,96234 ETH ($2 000 - $3 000).
Screenshot_4.png
Согласно последнему сообщению Netlab, всё это время злоумышленники не только активно сканировали сеть, но и значительно нарастили собственные ресурсы, в связи с чем общие потери от этого типа атаки уже превысили $20 млн.

Screenshot_5.png

«Если вы установите ловушку на порт 8545, то обнаружите запросы, содержащие адреса кошельков», - пишет Netlab. «Довольно большое число IP-адресов занимается сканированием этого порта».

Инструменты для сканирования порта 8545 в изобилии представлены на GitHub, поэтому преднамеренное раскрытие майнеров или кошельков на нём равносильно добровольной передаче криптовалюты злоумышленникам, отмечает Bleeping Computer. Тем не менее, данные Netlab говорят о том, что многие пользователи не уделяют должного внимания проблеме, а активность по сканированию порта 8545 будет только набирать обороты.
Фото: FabrikaSimf
Комментарии 0
Вы должны войти на сайт, чтобы разместить свой комментарий.