Хакеры украли Ethereum с кошельков, сломав инфраструктуру интернета

Пару дней назад в полночь пользователи MyEtherWallet стали замечать что-то странное. Подключаясь к сервису, пользователи столкнулись с неназначенным SSL-сертификатом — сломанной ссылкой в верификации сайта. Это было странно, но пользователи нередко кликают на всплывающие окна, не задумываясь о последствиях.

Как оказалось, все кликнувшие на сертификат были перенаправлены на сервер в России, где с их кошельков сняли криптовалюту. Судя по активности, атакующие смогли увести как минимум 13 тысяч долларов в "эфире" в течение пары часов, пока атака работала. При этом атакующий кошелек уже включает более 17 миллионов долларов в Etherium. 

MyEtherWallet подтвердил атаку. Компания запустила проверку информацию о том, какие серверы стали целью хакеров, рекомендуя временно использовать оффлайн-версию MyEtherWallet.

Особенность этого хака в том, что скомпрометирован был не сам сайт MyEtherWallet. Вместо этого была атакована инфраструктура интернета, перехватывая DNS-запросы к myetherwallet.com, чтобы направить пользователя на российский сервер, выдающий себя за официальный. Большая часть подверженных атаке использовали DNS-сервер Google 8.8.8.8, однако так как сервис Google рекурсивный. Скорее всего подлог адреса был осуществлен через фальшивую коммуникацию с системой Route 53 от Amazon.

Представитель Amazon Web Services заявил, что DNS-система компании не была скомпрометирована. Вместо этого хак задействовал интернет-провайдер, чтобы выдавать IP-адреса другим сетям. Данная атака известна как BGP-захват, позволяя распространять нужную взломщикам информацию о путях для перехвата передаваемого трафика. Обычно для этого требуется взлом серверов провайдеров или компаний, отвечающих за инфраструктуру. В случае с этой атакой захват произошел в районе интернет-обменника в Чикаго, однако источник атаки все еще не обнаружен.