Po dokładnym zbadaniu niedawnego włamania do MyEtherWallet, raporty pokazują, że napastnicy posiadają tokeny Ether o wartości ponad 17 milionów dolarów. Ponadto media odkryły więcej szczegółów związanych z incydentem, w tym wektor ataku używany do zainfekowania DNS myetherwallet.com.
We wtorek, między godziną 11.00 a 13.00 UTC, sposób, w jaki użytkownicy kierowani byli na konkretne adresy IP, został częściowo naruszony po tym, jak grupa hakerów przypuszczalnie skorzystała z protokołu Border Gateway – kluczowego systemu używanego do kierowania ruchu w internecie – aby wprowadzić złośliwe ścieżki do usługi Amazona Route 53.
Ponieważ system jest odpowiedzialny za obsługę sporej ilości internetowego ruchu, opiera się na kilku “zaufanych” dostawach DNS, aby dać użytkownikom informacje potrzebne nawiązania połączeń z konkretnymi domenami. Route 53 jest zdecydowanie jedną z najważniejszych, kierującą ruchem na stronach takich jak Twitter. Atak został zainicjowany, kiedy hakerzy użyli techniki “man in the middle”, aby podłączyć się do jednego z serwerów Equinix w Chicago.
“Do tej pory jedynym znanym serwisem, który przekierował ruch był MyEtherWallet.com, serwis krypto-walutowy. Ruch ten został przekierowany na serwer w Rosji, który obsługiwał stronę internetową za pomocą fałszywego certyfikatu – ukradł on również kryptowaluty klientów”, napisał Kevin Beaumont, niezależny badacz ds. bezpieczeństwa cybernetycznego.
Jest to zdecydowanie najbardziej wyrafinowany incydent cyber-przestępczości związany z kryptowalutami; przejęcie kontroli nad jednym z głównych kręgosłupów Internetu, aby wydrenować portfel użytkowników serwisu. Eksperci są zgodni, że mógł to być jedynie próbny atak. Prawdopodobieństwo kolejnego jest na tyle duże, że w dającej się przewidzieć przyszłości miejsce mogą mieć kolejne incydenty. Szczególnie, że przestępcy posiadając na swoich rachunkach $17 mln w ETH, nie ryzykowaliby tak zaawansowanej technologicznie akcji, aby wykraść “zaledwie” $150 tys., które zniknęło z MyEtherWallet.
