設定錯誤的以太坊客戶被黑客攻擊損失超過2000萬美元

2018年6月14日 23:54
本文來源於BLEEPINGCOMPUTER,原作者Catalin Cimpanu,由奇點財經翻譯整理

 

中國網路安全公司奇虎360網路今天報道,一群黑客從以太坊應用和採礦設備中盜取了價值2000萬美元的以太坊Ethereum。
盜竊案件發生的原因是由於以太網軟體應用設定成在埠8545上公開RPC [遠程調用]接口。

此接口用於提供對程序化API的訪問,以便受允許的第三方服務或應用程序進行查詢和交互,或者,從原始的基於以太坊的服務中檢索數據——例如個人用戶或公司用於採礦或管理資金。
的monero錢包APP。

鑒於其作用,這個RPC接口允許訪問一些相當敏感的功能,允許第三方應用程序檢索私鑰,移動資金或檢索所有者的個人詳細資訊。

因此,該界面在大多數應用程序中默認處於禁用狀態,並且最初的程序開發人員一般都會附上相關警告,除非是在訪問控制列表(ACL)、防火牆或其他身份驗證系統的適當保護下,否則不會將其打開。

幾乎所有基於以太坊的軟體現在都帶有一個RPC接口,並且在大多數情況下,即使被打開也會被設定為僅通過本地接口(127.0.0.1)來接受指令,這其實就是與執行在與暴露RPC接口的原始採礦/錢包應用程序相同的機器上的應用程序。

有些用戶不喜歡閱讀文檔

但多年來,外界都知道那些開發人員一直在對Ethereum應用程序做修補工作,雖然有時他們自己也不知道他們在做甚麼。

其實這不是一個新鮮話題了。Ethereum項目發布幾個月後官方給出了一份安全建議,警告一些geth以太坊採礦軟體用戶正在執行採礦軟體,並將該接口開放到遠程連接,使得惡意攻擊者竊取他們的資金成為可能。

但是,盡管Ethereum官方開發人員發出了警告,但多年來用戶仍然沒有正確配置他們的Ethereum客戶端,許多人報告稱他們失去了藍籌,事情的發生原因追溯到了暴露的RPC接口。

去年以來對於暴露接口的搜尋急劇增加

其實這些接口的掃描多年來一直都在進行,但隨著加密貨幣價格在2017年達到創紀錄的新高,多個恐嚇團體加入了搜尋暴露在網上的快錢的隊伍。

去年11月發生了一起有史以來最大的一波掃描活動,一名成員開始對整個互聯網Ethereum JSON RPC端點進行大規糢掃描。

這些掃描是成功的,因為這位成員很快發現Electrum錢包應用的版本默認啓用了JSON RPC,允許任何人訪問用戶的資金,僅需要你知道在哪裡尋找。

2018年5月,當今最大的物聯網僵屍網路之一Satori也開始掃描被意外暴露在網上的以太網礦工。

新出現的針對埠8545的掃描

這些攻擊針對在埠3333上執行的設備,但對於這些應用程序中的大多數,其默認RPC接口駐留在埠8545上。

據奇虎360 Netlab的安全專家稱,至少有一名威脅實施者展開了對8545埠的大規糢掃描,尋找暴露在網上的Ethereum軟體。

這些掃描在今年3月份開始,當時攻擊者只獲得了約3.96234 Ether(〜2,000至3,000美元)的利益。

Netlab團隊今天重新審視了這項研究,他表示針對8545埠的掃描從未停止過,但隨著多個團隊加入掃描活動而愈演愈烈,其中一個團隊比大多數團隊更成功,此後,他們設法從暴露的應用程序中汲取價值超過2000萬美元的Ether資金。

Netlab團隊說:「如果你的蜜罐執行在8545埠上,你應該能夠看到有效載荷中的請求,這些請求包含錢包地址。」「現在有很多IP在這個埠上執行大量的掃描。」

通過一系列在GitHub上的工具使對8545埠的掃描和黑客行為自動化,故意在8545埠打開礦機或錢包應用服務是一種財政上的自殺行為。

盡管如此,在過去的幾個月裡,僅僅一個團夥就盜走了超過2000萬美元,這很顯然是因為有很多用戶在創建以太坊錢包或使用採礦設備之前嫌麻煩而沒有仔細閱讀他們的應用文件說明書。

預計未來針對8545埠的掃描會持續上升,因為這個團夥的成功肯定會吸引更多的威脅者尋找獲得快錢的機會。

建議Ethereum錢包和採礦設備的所有者務必檢查自己以太坊節點的設定,並確保沒有將RPC接口暴露給外部連接。

 

原文鏈接:https://www.bleepingcomputer.com/news/security/hackers-stole-over-20-          million-from-misconfigured-ethereum-clients/