Hacker đánh cắp hơn 20 triệu đô từ các node Ethereum không an toàn

Theo các nhà nghiên cứu bảo mật hacker đã đánh cắp hơn 20 triệu đô la chỉ trong vài tháng bằng cách chiếm đoạt các node Ethereum được cấu hình không an toàn trên Internet.

Các nhà nghiên cứu đã phát hiện một nhóm hacker tìm cách lấy cắp tổng cộng 38.642 Ether, trị giá hơn 20,500,000 đô la trong vài tháng qua đến thời điểm hiện tại, bằng cách cướp các ví Ethereum của những người dùng sử dụng Geth đã mở cổng JSON-RPC 8545 của họ ra bên ngoài Internet.

Geth là một trong những máy trạm phổ biến nhất chạy các node Ethereum và kích hoạt dịch vụ JSON-RPC để cho phép người dùng truy cập từ xa vào các chức năng của blockchain và node Ethereum.

hacker-etherum

Đây là địa chỉ tài khoản Ethereum của kẻ tấn công:

0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464

Bằng cách tìm kiếm địa chỉ này trên Internet, hàng tá diễn đàn và trang web nơi người dùng đăng chi tiết về các sự cố tương tự xảy ra, mô tả về cùng một địa chỉ được hacker sử dụng để lấy tiền từ các node Ethereum không an toàn.

Các nhà nghiên cứu cảnh báo rằng không chỉ nhóm hacker nói trên mà nhiều hacker khác cũng đang quét lỗ hổng bảo mật với giao diện JSON-RPC không an toàn để lấy cắp tiền từ ví tiền điện tử.

Nếu bạn có Honeypot chạy trên cổng 8545, bạn sẽ có thể thấy các yêu cầu và payload, trong đó có các địa chỉ ví. Và hiện nay có khá nhiều IPS đang thực hiện quét những lỗ hổng bảo mật trên cổng này.

Những người dùng đã triển khai các node Ethereum được khuyên chỉ nên cho phép kết nối đến máy khách Geth có nguồn gốc từ máy tính nội bộ. Hoặc triển khai cơ chế phân quyền đối để các kết nối RPC từ xa cần phải được cho phép.

THN