Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов

casio

Группа хакеров украла свыше $20 млн в Ethereum, используя уязвимость приложений и майнинговых ферм, сообщает китайский разработчик антивирусного ПО Qihoo 360 в понедельник. Взлом стал возможен из-за того, что определённые приложения Ethereum были сконфигурированы таким образом, чтобы выводить интерфейс RPC на порт 8545.

Интерфейс RPC (протокола дистанционного вызова процедур) используется для предоставления доступа к программируемым API, к которым могут обращаться сторонние сервисы и приложения для взаимодействия или получения данных оригинального сервиса на базе Ethereum, в том числе кошельков, используемых майнерами и другими пользователями.

Из-за своего назначения интерфейс RPC способен предоставлять доступ к некоторым уязвимым функциям, включая передачу приватных ключей, перемещение средств и т.д. Обычно он сопровождается предупреждением от оригинального разработчика о недопустимости его активации без необходимой защиты.

Почти всё ПО на базе Ethereum сегодня поставляется с RPC-интерфейсом и в большинстве случаев использует корректную конфигурацию, позволяющую взаимодействовать только с локальными запросами, то есть отправляемыми приложениями, работающими на том же устройстве.

Создатели Ethereum обращали внимание на требования к использованию RPC-интерфейса ещё в 2015 году вскоре после запуска своей основной сети. Несмотря на это, некоторые пользователи продолжают экспериментировать с ПО, часто не осознавая, какие уязвимости открывают их действия.

garryncha

Ну что тут сказать? Вас предупреждали .А хакеры не дремлюююют!

casio

Участник @garryncha написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

Ну что тут сказать? Вас предупреждали .А хакеры не дремлюююют!

ну так еще с 15 года бедные порты сканируют в поисках дырок...

garryncha

Да , что то долго они сканировали.

okela

Участник @casio написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

Участник @garryncha написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

Ну что тут сказать? Вас предупреждали .А хакеры не дремлюююют!

ну так еще с 15 года бедные порты сканируют в поисках дырок...

Минусы излишней навороченности кефирного блокчейна вылезают наружу ...

casio

Участник @okela написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

Участник @casio написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

Участник @garryncha написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

Ну что тут сказать? Вас предупреждали .А хакеры не дремлюююют!

ну так еще с 15 года бедные порты сканируют в поисках дырок...

Минусы излишней навороченности кефирного блокчейна вылезают наружу ...

Ну в общем кто хотел тот подумал о своей безопасности. А кто хотел тот биткойн на нее положил.

Ivan Ivanov

@casio все равно за 3 года 20 миллионов долларов - это хороший гонорар за работу )

casio

Участник @ivan-ivanov написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

@casio все равно за 3 года 20 миллионов долларов - это хороший гонорар за работу )

Ну да. Но там думаю не один человек работал. На рынке думаю куча команд в этом плане работает.

Daewoo

Очень печально, если это не скрытая реклама того самого антивируса, чей автор рассказывает про новость. Получается, что даже скачав правильный софт нет 100% гарантии, что у тебя не уведут деньги?

Transcoin

Это очеь было интересно и познавательно

Yasher

Участник @daewoo написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

Очень печально, если это не скрытая реклама того самого антивируса, чей автор рассказывает про новость. Получается, что даже скачав правильный софт нет 100% гарантии, что у тебя не уведут деньги?

Самый лучший антивирус - это голова пользователя. Даже если антивирус будет абсолютно все вредоносные программы и атаки блокировать, хакер всё равно может обманом пользователя получить необходимые данные.

Transcoin

@yasher я могу сказать, что даже самый крутой антивирусник свежий вирус не найдет ничего пока, кто то не пожалуется на него.

okela

Участник @daewoo написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

Очень печально, если это не скрытая реклама того самого антивируса, чей автор рассказывает про новость. Получается, что даже скачав правильный софт нет 100% гарантии, что у тебя не уведут деньги?

Ну в данной новости вообще ни слова не сказано про вирусы и антивирусы ...

Transcoin

@okela Согласен

Cyrax

Участник @okela написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

Участник @daewoo написал в Хакеры украли свыше $20 млн в Ethereum, используя ошибку в конфигурации клиентов:

Очень печально, если это не скрытая реклама того самого антивируса, чей автор рассказывает про новость. Получается, что даже скачав правильный софт нет 100% гарантии, что у тебя не уведут деньги?

Ну в данной новости вообще ни слова не сказано про вирусы и антивирусы ...

Ну как бы говорится: "сообщает китайский разработчик антивирусного ПО Qihoo 360 в понедельник". Это как у нас бывает, что Касперский о чём то там предупреждает или рассказывает интересную статистику.(заявил о себе - реклама - профит!)

А вообще людям стоит переходить на что то другое, если они сомневаются в Эфире после таких страшилок.

Transcoin

@cyrax На Dash пусть все переходят :)))

Ripper

Ну реально, а что теперь делать? Лучше всего хранить свою криптовалюту на надёжных кошельках или на биржах, а может сразу выводить в фиат? Тут наверное стоит это делать чаще обычного, чтобы много не собиралось\не воровалось...

Ivan Ivanov

@casio даже для группы хакеров - это неплохая сумма. насколько я понял, кошелек, по которому есть данные один, значит принадлежит одной группе.

Gleb18

@ripper Вы про майнинг? Если да, то такой метод может решить некоторые проблемы. Так же можно просто вводить всю криптовалюту на биржу, даже там будет надежнее.

Vasker

@gleb18 Ну так воровали у майнеров, насколько я понял. То, о чём вы пишите -это разделение прибыли в разные корзины, как временный вариант. Лучше бы разработчики делали свою работу во время.