W dniu 24 kwietnia miał miejsce atak hakerski na portfel przeglądarkowy MyEtherWallet. Wielu użytkowników straciło swoje środki.
Użytkownicy MyEtherWallet (MEW) – aplikacji web do przechowywania i wysyłania ethereum i opartych na ETH tokenów, doświadczyli we wtorek 24 kwietnia ataku hakerskiego. MEW jest jednym z najbardziej popularnych portfeli przeglądarkowych, często używanym do wysyłania pieniędzy i przeprowadzania wszelkich transakcji wymagających przesyłania ETH i tokenów ERC20.
W wyniku ataku DNS użytkownicy serwisu stracili ETH o wartości około 152.000 USD. MyEtherWallet powiadomiła użytkowników o zagrożeniu w wiadomości ogłoszonej 15 minut po rozpoczęciu ataku. Po tym zdarzeniu użytkownicy w mediach społecznościowych informowali o utracie środków. Jeden z użytkowników tak opisał działanie tego ataku: „Wszedłem na MyEtherWallet i zobaczyłem w rogu ekranu, że mam nieważny certyfikat połączenia. Gdy tylko się zalogowałem, trwało odliczanie przez około 10 sekund i dostępne pieniądze, które miałem w portfelu zostały wysłane do innego portfela: 0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29. Nie mam pojęcia, co się stało.”
Michy Sococi – deweloper z BlockBits.io wyjaśnił ten atak w następujący sposób: „Nie używaj myetherwallet.com, jeśli używasz publicznego DNS Google (8.8.8.8 / 8.8.4.4) w tym momencie. Wydaje się, że serwery DNS łączą domenę ze złym serwerem, który może ukraść twoje klucze”. Jego wyjaśnienie pasuje do twierdzenia MyEtherWallet, że atak nie pochodził z ich strony. Serwery DNS łączą adresy URL stron internetowych z odpowiednimi adresami IP.
Zgodnie z danymi z Etherscan, przejęte środki zostały następnie przetasowane i podzielone na mniejsze porcje. Początkowo eksplorator blockchain Ethereum pokazał, że adres 0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29 otrzymał 179 przychodzących transakcji począwszy od godziny 7 rano. Do godzin popołudniowych adres ten łącznie otrzymał 216.06 ETH o wartości 152000 USD. O godzinie 10.15 atakujący wysłał 215 ETH na inny adres: 0x68ca85dbf8eba69fb70ecdb78e0895f7cd94da83. Od tego czasu środki zostały rozdzielone na wiele adresów portfeli.
Jak stwierdził CEO MyEtherWallet Kosala Hemachandra „atak hakerski był wystarczająco duży, żeby zainfekować publiczne serwery DNS Google i podłożyć złośliwy adres IP dla myetherwallet.com”. Poinformował też, że Google naprawiło ten problem w krótkim czasie.
Z tej sytuacji wynika, że najbezpieczniej używać portfela sprzętowego lub offline. Serwisy takie jak MyEtherWallet i MyCrypto mogą być używane w wersji desktop przez ściągnięcie oprogramowania, co eliminuje ryzyko ataku DNS.
Ataki tego rodzaju są coraz częstsze. W grudniu inna platforma ETH została dotknięta przez podobny atak, w wyniku którego użytkownicy stracili swoje środki.
