Kinijos kibernetinio saugumo bendrovės „Qihoo 360 Netlab“ tyrėjai nustatė vieną didžiausių kriptovaliutų įsilaužimų pastarojo meto atmintyje. Pasak „Crypto Globe“, įmonė tiksliai nustatė maždaug 20 milijonų dolerių vertės eterio vagystę nuo šio rašymo. Vienas iš labiausiai gluminančių ir sunkinančių vagysčių aspektų, neatsižvelgiant į jos mastą, yra tai, kad Kinijos kibernetinio saugumo bendrovės „Qihoo“ tyrėjai kovo mėnesį nustatė ankstesnį įsilaužimą, kuris galbūt padėjo paruošti kelią šiai didelio masto vagystei.
Nesaugus Ethereum mazgas
Įsilaužėliai, dalyvavę šioje vagystėje, pasinaudojo saugumo stoka tam tikruose ethereum mazguose, valdančiuose klientą, žinomą kaip Gethas. Neseniai įsilaužę vagys pavogė 38 642 ETH, kurių vertė apie 20, 5 mln. USD nuo šio rašto. Gethas yra klientas, leidžiantis asmenims paleisti ethereum mazgą platesniame tinkle, o aukos šiuo atveju buvo tie, kurie nesugebėjo tinkamai įjungti sąsajos, vadinamos JSON-RPC, Geth mieste. Ši sąsaja leidžia vartotojams nuotoliniu būdu pasiekti „blockchain“, siunčiant operacijas tarp sąskaitų, kurios buvo atrakintos
Šį ypatingą saugumo pažeidžiamumą jau seniai žino platesnės ethereum ir kriptovaliutų bendruomenės. Iš tikrųjų ethereum kūrimo komanda tai atkreipė dėmesį prieš trejus metus.
Piratai ieškojo nesaugių mazgų tinklo
Kovo mėn. „360 Netlab“ nustatė įsilaužimo atvejus, kai potencialūs vagys nugriovė eterio tinklą mazgų, kurie nesugebėjo uždaryti savo JSON-RPC prievado 8545, taip palikdami save atviriems saugumo pažeidimams. Tuo metu tyrėjai užfiksavo labai nedidelę vagystę, siekiančią tik 4 ETH. Tačiau po kelių mėnesių ši nedidelė vagystė virto labai didele. Tikėtina, kad yra ir kitų išpuolių, pagrįstų „Geth“ kliento saugumo spragomis. Nepaisant to, kai kurie vartotojai dar nežino apie riziką arba galbūt nesugeba baigti atnaujinimo, būtino saugos problemai išspręsti. Kol taip bus, tikėtina, kad kibernetinių nusikaltėlių komandos ir toliau ieškos būdų pavogti eterį iš platesnio tinklo. Geriausias dalykas, kurį gali padaryti „eterum“ investuotojai, yra paskleisti informaciją apie saugos pažeidžiamumą, kad mazgų operatoriai žinotų, kaip išspręsti problemą.
