设置错误的以太坊客户被黑客攻击损失超过2000万美元

2018年6月14日 23:53
本文来源于BLEEPINGCOMPUTER,原作者Catalin Cimpanu,由奇点财经翻译整理

 

中国网络安全公司奇虎360网络今天报道,一群黑客从以太坊应用和采矿设备中盗取了价值2000万美元的以太坊Ethereum。
盗窃案件发生的原因是由于以太网软件应用设置成在端口8545上公开RPC [远程调用]接口。

此接口用于提供对程序化API的访问,以便受允许的第三方服务或应用程序进行查询和交互,或者,从原始的基于以太坊的服务中检索数据——例如个人用户或公司用于采矿或管理资金。
的monero钱包APP。

鉴于其作用,这个RPC接口允许访问一些相当敏感的功能,允许第三方应用程序检索私钥,移动资金或检索所有者的个人详细信息。

因此,该界面在大多数应用程序中默认处于禁用状态,并且最初的程序开发人员一般都会附上相关警告,除非是在访问控制列表(ACL)、防火墙或其他身份验证系统的适当保护下,否则不会将其打开。

几乎所有基于以太坊的软件现在都带有一个RPC接口,并且在大多数情况下,即使被打开也会被设置为仅通过本地接口(127.0.0.1)来接受指令,这其实就是与运行在与暴露RPC接口的原始采矿/钱包应用程序相同的机器上的应用程序。

有些用户不喜欢阅读文档

但多年来,外界都知道那些开发人员一直在对Ethereum应用程序做修补工作,虽然有时他们自己也不知道他们在做什么。

其实这不是一个新鲜话题了。Ethereum项目发布几个月后官方给出了一份安全建议,警告一些geth以太坊采矿软件用户正在运行采矿软件,并将该接口开放到远程连接,使得恶意攻击者窃取他们的资金成为可能。

但是,尽管Ethereum官方开发人员发出了警告,但多年来用户仍然没有正确配置他们的Ethereum客户端,许多人报告称他们失去了蓝筹,事情的发生原因追溯到了暴露的RPC接口。

去年以来对于暴露接口的搜索急剧增加

其实这些接口的扫描多年来一直都在进行,但随着加密货币价格在2017年达到创纪录的新高,多个恐吓团体加入了搜索暴露在网上的快钱的队伍。

去年11月发生了一起有史以来最大的一波扫描活动,一名成员开始对整个互联网Ethereum JSON RPC端点进行大规模扫描。

这些扫描是成功的,因为这位成员很快发现Electrum钱包应用的版本默认启用了JSON RPC,允许任何人访问用户的资金,仅需要你知道在哪里寻找。

2018年5月,当今最大的物联网僵尸网络之一Satori也开始扫描被意外暴露在网上的以太网矿工。

新出现的针对端口8545的扫描

这些攻击针对在端口3333上运行的设备,但对于这些应用程序中的大多数,其默认RPC接口驻留在端口8545上。

据奇虎360 Netlab的安全专家称,至少有一名威胁实施者展开了对8545端口的大规模扫描,寻找暴露在网上的Ethereum软件。

这些扫描在今年3月份开始,当时攻击者只获得了约3.96234 Ether(〜2,000至3,000美元)的利益。

Netlab团队今天重新审视了这项研究,他表示针对8545端口的扫描从未停止过,但随着多个团队加入扫描活动而愈演愈烈,其中一个团队比大多数团队更成功,此后,他们设法从暴露的应用程序中汲取价值超过2000万美元的Ether资金。

Netlab团队说:“如果你的蜜罐运行在8545端口上,你应该能够看到有效载荷中的请求,这些请求包含钱包地址。”“现在有很多IP在这个端口上运行大量的扫描。”

通过一系列在GitHub上的工具使对8545端口的扫描和黑客行为自动化,故意在8545端口打开矿机或钱包应用服务是一种财政上的自杀行为。

尽管如此,在过去的几个月里,仅仅一个团伙就盗走了超过2000万美元,这很显然是因为有很多用户在创建以太坊钱包或使用采矿设备之前嫌麻烦而没有仔细阅读他们的应用文件说明书。

预计未来针对8545端口的扫描会持续上升,因为这个团伙的成功肯定会吸引更多的威胁者寻找获得快钱的机会。

建议Ethereum钱包和采矿设备的所有者务必检查自己以太坊节点的设置,并确保没有将RPC接口暴露给外部连接。

 

原文链接:https://www.bleepingcomputer.com/news/security/hackers-stole-over-20-          million-from-misconfigured-ethereum-clients/