Los investigadores de seguridad han estado advirtiendo sobre los ciberdelincuentes que han ganado más de 20 millones de dólares en los últimos meses secuestrando nodos de Ethereum configurados de forma no segura expuestos en Internet.
Qihoo 360 Netlab en Twitter tuiteó acerca de un grupo de ciberdelincuentes que buscaban en Internet el puerto 8545 para encontrar clientes geth inseguros con nodos de Ethereum y, en ese momento, se habían robado 3.96234 unidades de criptomoneda Ethereum (Ether).
Sin embargo, los investigadores ahora notaron que otro grupo cibercriminal logró robar un total de 38,642 Ether, por valor de más de $ 20,500,000 al momento de escribir, en los últimos meses secuestrando billeteras Ethereum de usuarios que habían abierto su puerto JSON-RPC 8545 al exterior. mundo.
Geth es uno de los clientes más populares para ejecutar el nodo Ethereum y la habilitación de la interfaz JSON-RPC permite a los usuarios acceder de forma remota a las funcionalidades blockchain y node de Ethereum, incluida la capacidad de enviar transacciones desde cualquier cuenta que se haya desbloqueado antes de enviar una transacción. permanecerá desbloqueado durante toda la sesión.
Aquí está la dirección de la cuenta Ethereum de los atacantes , donde se han recogido todos los fondos robados:
0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464
Simplemente buscando esta dirección en Internet, encontramos docenas de foros y sitios web donde los usuarios han publicado detalles de incidentes similares que ocurrieron con ellos, describiendo sobre la misma dirección de la cuenta los piratas informáticos utilizados para robar sus fondos de los nodos de Ethereum configurados de forma no segura.
Según un aviso emitido por Ethereum Project hace tres años, dejar la interfaz JSON-RPC en una máquina accesible por Internet sin una política de firewall abre su billetera de criptomonedas al robo «por cualquiera que conozca su dirección [monedero] en combinación con su IP »
Los investigadores de NetLab advirtieron que no solo el grupo de ciberdelincuentes antes mencionado sino también otros atacantes también están escaneando activamente Internet en busca de una interfaz JSON-RPC insegura para robar fondos de los monederos de criptomonedas.
«Si tienes un honeypot en ejecución en el puerto 8545, deberías poder ver las solicitudes en la carga útil. Lo cual tiene las direcciones de la billetera. Y ahora hay bastantes ips escaneando mucho en este puerto», tuiteó 360 Netlab.
Se aconseja a los usuarios que hayan implementado nodos de Ethereum que solo permitan las conexiones con el cliente geth que se origina en la computadora local, o que implementen la autorización del usuario si es necesario habilitar conexiones RPC remotas.
