Пользователи популярного Ethereum-кошелька MyEtherWallet (MEW) подверглись хакерской атаке — вчера в результате взлома «пары DNS-серверов» было похищено 216 эфиров на сумму $152 000.
«Пара DNS-серверов была взломана для того, чтобы переадресовать пользователей myetherwallet.com на фишинговый сайт. Это произошло не на стороне @myetherwallet, мы в процессе подтверждения, каких серверов это коснулось, для скорейшего решения проблемы», – написали разработчики в Twitter спустя 15 минут после начала атаки.
Тем временем многие пользователи прибегли к социальным медиа, чтобы рассказать, как они потеряли средства.
«Открыл мой myetherwallet и увидел, что у myetherwallet некорректный сертификат соединения», – написал пользователь Reddit с ником rotistain.
Как только rotistain авторизовался, «начался обратный отсчёт, примерно из 10 секунд», по прошествии которых запустилась отправка имеющихся средств «на кошелёк 0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29».
Некоторые из пользователей смогли быстро объяснить причину — ведущий разработчик BlockBits.io Микки Сосаси (Micky Socaci) на портале Reddit объяснил, что произошедшее — дело рук хакеров.
«Не открывайте myetherwallet.com, если вы используете Google Public DNS (8.8.8.8 / 8.8.4.4) в настоящий момент. Кажется, эти DNS-серверы перенаправляют домен на плохие серверы, которые МОГУТ украсть ваши ключи!» — написал он.
Его объяснение сходится с заявлением MyEtherWallet о том, что проблема была не в уязвимости самого кошелька — DNS-серверы перенаправляли URL вебсайта на IP-адрес из Санкт-Петербурга.
По данным Etherscan, впоследствии украденные средства были перемешаны и разбиты на более мелкие части. Первоначально было зафиксировано 179 входящие транзакции на адрес 0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29 на сумму 216,06 эфиров или около $152 000.
Далее хакер отправил 215 эфиров на другой адрес 0x68ca85dbf8eba69fb70ecdb78e0895f7cd94da83, после чего средства снова были разбиты на части, разделённые между множеством кошельков.
По словам CEO MyEtherWallet Козала Хемачандра (Kosala Hemachandra), группа хакеров, по всей видимости, была «достаточно крупной для осуществления атаки, заражающей DNS на публичных DNS-серверах Google, что заставило их кэшировать вредоносный IP-адрес для myetherwallet.com». Он добавил, что Google устранил проблему «очень быстро».
«Это действительно неудача, мы живём в мире, где даже самые защищённые вебсайты подвержены этому виду атак… Мне жаль, что это так, и я надеюсь, команда MEW сможет обучить пользователей и убедить их использовать аппаратные кошельки и локальные версии MEW», — отметил Хемачандра.
Следует отметить, что пресс-служба Google пока не дала своих комментариев.