PTT數位生活區 / DigiCurrency (數位貨幣)

[新聞] 黑客事件不斷 以太幣慘遭毒手

看板DigiCurrency (數位貨幣)作者 (ryousa~Diru)時間6年前 (2018/06/14 13:03), 編輯推噓13(13016)
留言29則, 11人參與, 6年前最新討論串1/1
據Bleeping Computer 6月11日發表的一篇文章稱,據報導,有黑客利用以太坊客戶端的錯 誤設定,盜取了大約價值兩千萬美元的以太幣。 黑客能夠使用以太坊軟件訪問應用程序,該軟件配置其接口以公開遠程過程調用(RPC)。 RPC界面允許第三方查詢,與以太坊服務進行交互和檢索數據,這意味著訪問者可以獲得私 鑰,查看所有者的個人信息,甚至可以調動資金。 雖然大多數應用程序默認情況下會禁用此界面,並且即使打開它,通常也會配置為僅允許訪 問本地運行的應用程序。但是,開發人員並不總是保持這種配置,有時在不知道危險的情況 下重新配置Ethereum客戶端。 Ethereum項目很早就知道利用此漏洞的可能性,並於2015年8月向其用戶發出了官方安全建 議警告,表明攻擊的可能性很低,但潛在的嚴重程度很高。 根據Bleeping Computer,中國網絡安全公司Qihoo 360 Netlab在3月份發現,至少有一個「 測試程序」正在使用端口8545上的RPC接口對暴露的以太坊軟件進行大規模掃描。當時,360 Netlab表示一條推文:「迄今為止其賬戶上只有3.96234 Ether [~$ 2000- $ 3000],但 嘿它是免費的!」 6月11日,Netlab團隊在再次回顧研究之後表示,8545港口的掃描從未停止過,但實際上隨 著更多「測試程序」的加入而增加。目前,被盜的以太幣數目為38,642.7,價值約1810萬美 元。 直至現在,以太坊團隊和共同創始人Vitalik Buterin都沒有對事件作出回應 原文:https://cointmr.com/%E9%BB%91%E5%AE%A2%E4%BA%8B%E4%BB%B6%E4%B8%8D%E6%96%B7 -%E4%BB%A5%E5%A4%AA%E5%B9%A3%E6%85%98%E9%81%AD%E6AF%92%E6%89%8B/ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.52.104.31 ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1528952619.A.265.html
06/14 13:15, 6年前 , 1F
先充值信仰
06/14 13:15, 1F
06/14 13:29, 6年前 , 2F
這就使用者亂改設定出包吧
06/14 13:29, 2F
06/14 13:29, 6年前 , 3F
比特幣也有這東西 其他幣應該也一樣
06/14 13:29, 3F
06/14 13:31, 6年前 , 4F
RPC監聽接受localhost以外的連線都會被用戶端程式警告
06/14 13:31, 4F
06/14 13:53, 6年前 , 5F
這樣要偏利多看 表示有人要?
06/14 13:53, 5F
06/14 13:54, 6年前 , 6F
不要亂條設定不就沒事了
06/14 13:54, 6F
06/14 14:29, 6年前 , 7F
還酸信仰..
06/14 14:29, 7F
06/14 14:42, 6年前 , 8F
不要給我啊
06/14 14:42, 8F
06/14 15:06, 6年前 , 9F
仔細想了一下 不知道這些hacker是怎麼成功的耶
06/14 15:06, 9F
06/14 15:10, 6年前 , 10F
Bitcoin官方實作 要跑兩支程式
06/14 15:10, 10F
06/14 15:11, 6年前 , 11F
bitcoind (daemon): 就是full node程式 並且提供RPC介面
06/14 15:11, 11F
06/14 15:11, 6年前 , 12F
bitcoin-cli (command line interface): 下RPC給daemon
06/14 15:11, 12F
06/14 15:14, 6年前 , 13F
Bitcoin使用者操作bitcoin-cli來命令bitcoind進行挖礦或是
06/14 15:14, 13F
06/14 15:14, 6年前 , 14F
發送交易之類的動作
06/14 15:14, 14F
06/14 15:15, 6年前 , 15F
然而bitcoind除了預設只能被本機的bitcoin-cli呼叫
06/14 15:15, 15F
06/14 15:16, 6年前 , 16F
bitcoind的設定檔裡面還會指定RPC user/password
06/14 15:16, 16F
06/14 15:17, 6年前 , 17F
bitcoin-cli對bitcoind下RPC的時候必須附上正確的user/pass
06/14 15:17, 17F
06/14 15:17, 6年前 , 18F
word 才給呼叫
06/14 15:17, 18F
06/14 15:18, 6年前 , 19F
也就是說如果不知道bitcoind設定的user/password的話
06/14 15:18, 19F
06/14 15:19, 6年前 , 20F
就算hacker從遠端連入bitcoind也是沒辦法下RPC的
06/14 15:19, 20F
06/14 15:19, 6年前 , 21F
Ethereum應該也會有這一套認證才對吧
06/14 15:19, 21F
06/14 15:20, 6年前 , 22F
不知道hacker是怎麼通過認證的
06/14 15:20, 22F
06/14 15:25, 6年前 , 23F
如果account處於unlock狀態直接call是可以把錢幹走
06/14 15:25, 23F
06/14 15:28, 6年前 , 24F
所以call RPC不用認證嗎?連上RPC port就可以call了哦?
06/14 15:28, 24F
06/14 18:47, 6年前 , 25F
就是因為沒驗證連上就可以,後來版本才做修正
06/14 18:47, 25F
06/15 09:27, 6年前 , 26F
如果client端有開啟設定,hacker連上client的端口,還
06/15 09:27, 26F
06/15 09:27, 6年前 , 27F
不需要認證
06/15 09:27, 27F
06/16 10:13, 6年前 , 28F
說不定有遠端溢位
06/16 10:13, 28F
06/17 10:01, 6年前 , 29F
號稱最安全 結果一直出包 笑死
06/17 10:01, 29F
更多 ryousa 的文章
文章代碼(AID): #1R8VSh9b (DigiCurrency)
DigiCurrency 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 ryousa 的文章
文章代碼(AID): #1R8VSh9b (DigiCurrency)