fbpx

Użytkownicy MyEtherWallet okradzeni

MyEtherWallet, najpopularniejsza internetowa aplikacja do obsługi ETH oraz tokenów na Ethereum, padła ofiarą ataku rosyjskich hakerów. W efekcie skradziono 215 ETH o wartości ok. 150 000 dolarów.

MyEtherWallet nie jest typowym portfelem przeglądarkowym. Klucze prywatne nie są trzymane na serwerach, wszystko odbywa się lokalnie.
MEW to interfejs, za pomocą którego można połączyć się z pełnym węzłem i rozgłosić transakcję.
Z tego powodu uważa się go za bezpieczne rozwiązanie. Hakerzy znaleźli jednak sposób.
Posłużono się tym samym trikiem, jakiego użyto w ataku na zdecentralizowaną giełdę EtherDelta pod koniec 2017 roku – przejęcie serwera DNS.

Czym jest serwer DNS? By połączyć się z innym komputerem w internecie, należy znać jego adres IP. Ponieważ posługiwanie się długimi liczbami byłoby niewygodne, wymyślono zaufaną „księgę”, która zestawia IP serwera z nazwą domeny.
Ta „księga” to właśnie serwer DNS. Gdy wpisujesz w oknie przeglądarki adres naszej strony i naciskasz enter, twój komputer wysyła zapytanie do serwera DNS, który zwraca informację o adresie IP strony, z jaką się połączysz.

Hakerzy na dwie godziny przejęli nad serwerem DNS i przekierowali ruch na spreparowaną stronę, która wizualnie nie różniła się od MyEtherWallet, ale potrafiła ukraść wprowadzony klucz prywatny.  Ofiary łączyły się z adresem IP 46.161.42.42, który wskazuje na Rosję. Ktokolwiek za to odpowiada, nie jest biedny – skradzione ETH trafiły na adres 0xb3AAAae47070264f3595c5032eE94b620A583a39, na którym w chwili ataku były już środki o wartości około 20 milionów dolarów (nie jest to adres żadnej giełdy).

Jak na przyszłość zabezpieczyć przez takim atakiem? Najlepsza opcja to zakup portfela sprzętowego – o ile sprawdzasz na urządzeniu, czy adres portfela się zgadza, nic ci nie grozi.
Jeśli jednak wolisz darmowe rozwiązanie, to wystarczy pobrać MyEtherWallet na dysk i uruchamiać go lokalnie, dzięki czemu nie będzie potrzeby łączenia się z serwerem DNS.

Nie przegap ważnych informacji!

Otrzymuj najważniejsze informacje
i ekskluzywne materiały na temat kryptowalut.

Invalid email address
Pamiętaj, że możesz wypisać się w każdej chwili.

Komentarze (Brak)

Zostaw Swój Komentarz