Rubati quasi 20 mln di dollari tramite una falla di alcuni client ethereum

Secondo un articolo pubblicato l'11 giugno da Bleeping Computer, un gruppo di hacker avrebbe rubato l'equivalente di circa 20 milioni di dollari in Ethereum sfruttando alcuni client mal configurati.

Gli hacker erano in grado di accedere alle applicazioni tramite un'interfaccia Remote Procedure Call (RPC) esposta dal software di Ethereum utilizzato. Essa consente a terzi di interrogare, interagire e recuperare dati dall'applicazione basata su ethereum, permettendo così di ottenere chiavi private, vedere le informazioni personali del proprietario e persino spostarne i fondi.

La maggior parte delle app disabilita di default questo meccanismo, e anche quando è attivo consente l'accesso solo alle app eseguite in locale. Tuttavia, non sempre gli sviluppatori mantengono questa configurazione e talvolta riconfigurano i loro client ethereum ignari del pericolo.

Il progetto Ethereum è da tempo a conoscenza di questa vulnerabilità e ha infatti inviato un avviso di sicurezza ufficiale ai suoi utenti ad agosto del 2015, indicando che nonostante le probabilità di un attacco siano basse, gli effetti potrebbero essere molto gravi.

Secondo Bleeping Computer, a marzo la società cinese di sicurezza informatica Qihoo 360 Netlab ha rilevato che almeno uno degli sfruttatori della vulnerabilità stava effettuando scansioni di massa per scovare software ethereum che esponevano interfacce RPC, precisamente sulla porta 8545. All'epoca, 360 Netlab aveva denunciato l'episodio su Twitter: "ha ottenuto solo 3.96234 Ether [2000$-3000$] sul suo conto, ma sono comunque soldi gratis!".

L'11 giugno, dopo aver esaminato nuovamente la ricerca, il team di Netlab ha affermato che le scansioni per la porta 8545 non si sono mai fermate: al contrario, gli hacker che abusavano di tale bug erano aumentati. L'ether finora rubato ammonta a 38.642,7 (18,1 mln di dollari).

Al momento, né il team di Ethereum né il suo cofondatore Vitalik Buterin hanno rilasciato commenti a riguardo.