Forskere fra det kinesiske cybersecurity-selskapet Qihoo 360 Netlab har identifisert et av de største cryptocurrency-hakkene i nyere minne. I følge Crypto Globe har firmaet funnet et tyveri av eter til en verdi av omtrent 20 millioner dollar per dette skrivet. En av de mest forvirrende og skjerpende aspektene ved tyveriet, bortsett fra omfanget, er det faktum at det kinesiske cybersikkerhetsselskapet Qihoos forskere identifiserte et tidligere hack tilbake i mars som kan ha bidratt til å bane vei for dette storstilt tyveriet.
Usikker Ethereum Node
Hackerne som er involvert i dette tyveriet, utnyttet en mangel på sikkerhet i visse eterenknuter som kjører en klient kjent som Geth. I det nylige hacket stjal tyvene 38.642 ETH, verdt rundt 20, 5 millioner dollar fra og med dette forfatterskapet. Geth er en klient som tillater enkeltpersoner å kjøre en etodenum i det bredere nettverket, og ofrene i dette tilfellet var de som ikke hadde klart å aktivere et grensesnitt kalt JSON-RPC på Geth. Dette grensesnittet lar brukere få ekstern tilgang til blockchain og sende transaksjoner mellom kontoer som er låst opp
Denne spesielle sikkerhetssårbarheten har lenge vært kjent av de bredere ethereum og cryptocurrency-miljøene. Faktisk påpekte etherumutviklingsteamet det for tre år siden.
Hackere søkte nettverk etter usikre noder
Tilbake i mars identifiserte 360 Netlab tilfeller av hacking der potensielle tyver skurvet eternettverket etter noder som ikke hadde klart å stenge JSON-RPC-porten 8545, og dermed forlot seg åpne for sikkerhetsbrudd. På den tiden dokumenterte forskerne et veldig lite tyveri på bare 4 ETH. Bare noen måneder senere hadde dette lille tyveriet blitt til et veldig stort. Det er sannsynlig at det er andre angrep som har funnet sted basert på sikkerhetsfeilene i Geth-klienten også. Likevel er noen brukere uvitende om risikoen eller kanskje ikke i stand til å fullføre oppgraderingen som er nødvendig for å løse sikkerhetsproblemet. Så lenge det fortsatt er tilfelle, er det sannsynlig at team med nettkriminelle vil fortsette å søke etter måter å stjele eter fra det bredere nettverket. Det beste som ethereum-investorer kan gjøre er å spre ord om sikkerhetssårbarheten, slik at nodeoperatører blir klar over hvordan de skal løse problemet.
