BlockchainEthereumNews blockchainNews ethereum

Mieux comprendre le Hack de MEW

Hier, les utilisateurs de MyEtherWallet ont commencé à remarquer quelque chose d’étrange. En se connectant au service, les utilisateurs étaient confrontés à un certificat SSL non signé, un lien brisé dans la vérification du site. C’était inhabituel, mais c’est le genre de chose que les utilisateurs du web cliquent régulièrement sans réfléchir.

Mais toute personne qui a cliqué sur cet avertissement de certificat a été redirigé vers un serveur en Russie, qui a procédé à vider le portefeuille de l’utilisateur. A en juger par l’activité du portefeuille, les assaillants semblent avoir pris au moins 13 000 dollars à Ethereum pendant deux heures avant la fin de l’attaque. Le portefeuille des assaillants contient déjà plus de 17 millions de dollars en ETH.

MEW hack

MEW a confirmé l’attaque dans une déclaration sur Reddit.

Nous sommes actuellement en train de vérifier quels serveurs ont été ciblés pour aider à résoudre ce problème le plus rapidement possible », a déclaré la société aux utilisateurs. « Nous conseillons aux utilisateurs d’exécuter une copie locale (hors ligne) de MEW. »

MEW faut certificat
Le faut certificat qui a été montré aux utilisateurs de MyEtherWallet

Les attaquants ne semblent pas avoir compromis MEW lui-même. Au lieu de cela, ils ont attaqué l’infrastructure d’Internet, intercepter les requêtes DNS de « myetherwFallet.com » pour faire apparaître le serveur russe comme le propriétaire légitime de l’adresse. La plupart des utilisateurs concernés utilisaient le service DNS 8.8.8.8 de Google. Cependant, étant donné que le service de Google est récursif , la mauvaise inscription a probablement été obtenue grâce à une communication falsifiée avec le système « Route 53 » d’Amazon.

 

Dans une déclaration, un représentant des services Web Amazon a souligné que le système DNS du service n’a jamais été compromis. « Ni AWS ni Amazon Route 53 n’ont été piratés ou compromis« , lit-on dans la déclaration. « Un fournisseur de services Internet en amont a été compromis par un acteur malveillant qui a ensuite utilisé ce fournisseur pour annoncer un sous-ensemble d’adresses IP de Route 53 à d’autres réseaux avec lesquels ce ISP (Internet Service Provider) a été examiné. »

Pour intercepter ces demandes, les pirates informatiques ont utilisé une technique connue sous le nom de piratage BGP (Border Gateway Protocol), qui répand de mauvaises informations de routage comme un moyen d’intercepter le trafic en transit. Typiquement, retirer un tel détournement nécessite de pirater les serveurs BGP exploités par un ISP (Internet Service Provider) ou un autre fournisseur d’infrastructure Internet. Dans ce cas, le détournement s’est produit dans le voisinage d’un échange Internet à Chicago, bien que la racine du compromis soit encore inconnue.

L’équipe de MEWa réagi sur Twitter, en indiquant que ce piratage n’était pas de leur côté:

 

Tags

Articles liés

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Rejoignez notre chaîne Telegram
Social media & sharing icons powered by UltimatelySocial
Close