Hackers roubam mais de US$20 milhões através de clientes mal-configurados do Ethereum

Um grupo de hackers roubou mais de US$20 milhões em Ethereum de carteiras e aplicativos para mineração com base na Blockchain de mesmo nome. Isto foi relatado pelo CoinDaily com referência à empresa chinesa Qihoo 360 Netlab.

Os invasores fizeram uso de aplicativos de software do Ethereum configurados para fornecer acesso à interface RPC (chamada de procedimento remoto) através da porta 8545.

Essa interface é usada para acessar a API do software por meio da qual serviços ou aplicativos aprovados de terceiros podem solicitar o recebimento de dados do serviço de origem – aplicativos para armazenar fundos recebidos da mineração, por exemplo.

A interface RPC é capaz de fornecer acesso a algumas importantes funções, permitindo que um aplicativo de terceiros exiba chaves privadas e dados pessoais do usuário e realize transações.

Por padrão, ele é desabilitado na maioria dos aplicativos, e os desenvolvedores avisam sobre o perigo potencial de ativá-lo caso ele não esteja adequadamente protegido pela ACL (lista de controle de acesso), pelo firewall ou por outros sistemas de autenticação.

Hoje, quase todo o software baseado no Ethereum conta uma interface RPC. Na maioria dos casos, mesmo quando ligado, ele é configurado para fazer solicitações somente através da interface local (127.0.0.1), ou seja, através de aplicativos em execução na mesma máquina onde o aplicativo original para a mineração (ou carteira) está instalado.

Apesar do aviso dos desenvolvedores oficiais, os usuários continuaram a usar clientes Ethereum mal configurados por anos. Muitos deles relataram uma perda de fundos através de uma interface RPC aberta.

O escaneamento dessas interfaces durou muitos anos, mas se intensificou com o aumento dos preços das criptomoeda, tanto que um dos maiores surtos de atividade de escaneamento foi registrado em novembro do ano passado, quando o mercado estava em alta.

Os ataques foram bem-sucedidos, pois as vítimas logo descobriram que a versão do aplicativo Electrum Wallet vem com o RPC JSON, ativado por padrão e que facilita o acesso aos fundos do usuário.

De acordo com especialistas em segurança da empresa chinesa Qihoo 360 Netlab, pelo menos um caso de um escaneamento massivo da porta 8545 foi registrado em busca do software deixado na rede Ethereum.

Desde março deste ano, quando esses escaneamentos começaram, o atacante conseguiu obter cerca de 3.96234 Ethereum (cerca de US$2 – 3 mil).

Depois de analisar dados de suas próprias observações, a equipe do Netlab concluiu que o escaneamento da porta 8545 nunca cessou, intensificando-se quando vários grupos se juntaram a ela – um deles acabou por ser mais eficaz que os outros, apropriando-se mais de US$20 milhões em Ethereum de aplicativos abertos.

A Satori, uma das maiores botnets IoT do mundo, em maio de 2018, também começou o escaneamento em busca das mineradoras Ethereum deixadas abertas por usuários.

Ainda no contexto de notícias sobre o Ethereum, lembramos que em 11 de junho, o número total de emissão daquela que atualmente é a segunda maior criptomoeda em termos de capitalização, ultrapassou 100 milhões.