Penyelidik dari syarikat cybersecurity China Qihoo 360 Netlab telah mengenal pasti salah satu hacks cryptocurrency terbesar dalam ingatan baru-baru ini. Menurut Crypto Globe, firma tersebut telah menunjukkan kecurian eter bernilai kira-kira $ 20 juta sebagai penulisan ini. Salah satu aspek yang paling membingungkan dan memburukkan kecurian, selain dari magnitudnya, adalah fakta bahawa syarikat keselamatan cyber-China Qihoo penyelidik mengenal pasti hack awal pada bulan Mac yang mungkin telah membantu untuk membuka jalan untuk kecurian berskala besar ini.
Node Ethereum tidak selamat
Penggodam yang terlibat dalam kecurian ini memaksimalkan kekurangan keselamatan di nodus etherium tertentu yang menjalankan pelanggan yang dikenali sebagai Geth. Dalam hack baru-baru ini, pencuri mencuri 38, 642 ETH, bernilai kira-kira $ 20.5 juta pada penulisan ini. Geth adalah pelanggan yang membenarkan individu menjalankan nodus ethereum pada rangkaian yang lebih luas, dan mangsa dalam kes ini adalah orang-orang yang gagal dengan betul membolehkan antara muka yang dipanggil JSON-RPC pada Geth. Antaramuka ini membolehkan pengguna untuk mengakses blok jarak jauh dari jauh, menghantar transaksi antara akaun yang telah dikunci
Kelemahan keselamatan tertentu telah lama diketahui oleh masyarakat ethereum dan cryptocurrency yang lebih luas. Sesungguhnya, pasukan pembangunan ethereum menunjukkan tiga tahun lalu.
Rangkaian Mencari Hacker untuk Nod Insecure
Kembali pada bulan Mac, 360 Netlab mengenal pasti kejadian penggodaman di mana pencuri berpotensi menjejaki rangkaian ethereum untuk nod yang gagal menutup port JSON-RPC mereka 8545, sehingga meninggalkan diri mereka terbuka untuk pelanggaran keselamatan. Pada masa itu, para penyelidik mendokumentasikan kecurian yang sangat kecil berjumlah hanya 4 ETH. Namun beberapa bulan kemudian, kecurian kecil ini telah menjadi sangat besar. Kemungkinan ada serangan lain yang berlaku berdasarkan kelemahan keselamatan dalam klien Geth juga. Walau bagaimanapun, sesetengah pengguna masih tidak menyedari risiko atau mungkin tidak dapat menyelesaikan peningkatan yang diperlukan untuk menangani isu keselamatan. Selagi yang tetap berlaku, kemungkinan pasukan penjenayah siber akan terus mencari jalan untuk mencuri eter dari rangkaian yang lebih luas. Perkara terbaik yang boleh dilakukan oleh pelabur ethereum adalah untuk menyebarkan berita mengenai kelemahan keselamatan supaya pengendali nod menyedari bagaimana menangani kebimbangan tersebut.
