Группа хакеров похитила более $20 млн в криптовалюте Ethereum из кошельков и приложений для майнинга на базе одноименного блокчейна. Об этом сообщает CoinDaily со ссылкой на китайскую компанию в области кибербезопасности Qihoo 360 Netlab.
Злоумышленники использовали программные приложения Ethereum, которые были настроены для предоставления доступа к интерфейсу RPC (remote procedure сall) на порте 8545.
Этот интерфейс используется для доступа к программному API, через который одобренные сторонние службы или приложения могут запрашивать получение данных исходной службы, например, приложений для хранения средств, полученных от майнинга.
Интерфейс RPC способен предоставить доступ к некоторым важным функциям, позволяя стороннему приложению просматривать закрытые ключи и личные данные пользователя, а также проводить транзакции.
По умолчанию он отключен в большинстве приложений, а разработчики предупреждают о потенциальной опасности его запуска в случае, если он должным образом не защищен ACL (access control list), брандмауэром или другими системами проверки подлинности.
Сейчас почти все программное обеспечение на базе Ethereum имеет интерфейс RPC. В большинстве случаев, даже при включении, он настроен на запрос только через локальный интерфейс (127.0.0.1), то есть из приложений, работающих на той же машине, что и оригинальное приложение для майнинга (кошелька).
Несмотря на предупреждение официальных разработчиков, пользователи годами продолжали использовать неправильно настроенные клиенты Ethereum. Многие из них сообщили о потере средств через открытый интерфейс RPC.
Сканирование этих интерфейсов продолжалось много лет, но активизировалось с ростом цен на криптовалюты. Один из самых больших всплесков активности сканирования был зарегистрирован в ноябре прошлого года.
Атаки оказались успешными, так как жертвы вскоре обнаружили, что версия приложения Electrum Wallet поставляется с RPC JSON, включенным по умолчанию, что позволяет легко получить доступ к средствам пользователей.
По мнению экспертов по безопасности из китайской компании Qihoo 360 Netlab, было зафиксирован по крайней мере один случай массового сканирования порта 8545 в поисках оставленное в сети софта на Ethereum.
С марта этого года, когда начались эти сканирования, злоумышленник смог получить около 3,96234 Ethereum (около $2-3 тысячи).
Проанализировав данные собственных наблюдений, команда Netlab пришла к выводу, что сканирование порта 8545 никогда не прекращалось, усилившись в те моменты, когда к нему присоединились несколько групп. Одна из них оказалась результативнее других, присвоив из открытых приложений более $20 млн в Ethereum.
Satori, одна из крупнейших в мире IoT-бот-сетей, в мае 2018 года также начала сканирование оставленных открытыми майнеров Ethereum.