据Bleeping Computer 6月11日发表的一篇文章称，据报导，有黑客利用以太坊客户端的错
误设定，盗取了大约价值两千万美元的以太币。
黑客能够使用以太坊软件访问应用程序，该软件配置其接口以公开远程过程调用（RPC）。
RPC界面允许第三方查询，与以太坊服务进行交互和检索数据，这意味着访问者可以获得私
钥，查看所有者的个人信息，甚至可以调动资金。
虽然大多数应用程序默认情况下会禁用此界面，并且即使打开它，通常也会配置为仅允许访
问本地运行的应用程序。但是，开发人员并不总是保持这种配置，有时在不知道危险的情况
下重新配置Ethereum客户端。
Ethereum项目很早就知道利用此漏洞的可能性，并于2015年8月向其用户发出了官方安全建
议警告，表明攻击的可能性很低，但潜在的严重程度很高。
根据Bleeping Computer，中国网络安全公司Qihoo 360 Netlab在3月份发现，至少有一个“
测试程序”正在使用端口8545上的RPC接口对暴露的以太坊软件进行大规模扫描。当时，360
Netlab表示一条推文：“迄今为止其账户上只有3.96234 Ether [～$ 2000- $ 3000]，但
嘿它是免费的！”
6月11日，Netlab团队在再次回顾研究之后表示，8545港口的扫描从未停止过，但实际上随
著更多“测试程序”的加入而增加。目前，被盗的以太币数目为38,642.7，价值约1810万美
元。
直至现在，以太坊团队和共同创始人Vitalik Buterin都没有对事件作出回应
原文：https://cointmr.com/%E9%BB%91%E5%AE%A2%E4%BA%8B%E4%BB%B6%E4%B8%8D%E6%96%B7
-%E4%BB%A5%E5%A4%AA%E5%B9%A3%E6%85%98%E9%81%AD%E6AF%92%E6%89%8B/

先充值信仰

这就使用者乱改设定出包吧比特币也有这东西 其他币应该也一样RPC监听接受localhost以外的连线都会被用户端程式警告

这样要偏利多看 表示有人要？

不要乱条设定不就没事了

还酸信仰..

不要给我啊

仔细想了一下 不知道这些hacker是怎么成功的耶Bitcoin官方实作 要跑两支程式bitcoind (daemon): 就是full node程式 并且提供RPC接口bitcoin-cli (command line interface): 下RPC给daemonBitcoin使用者操作bitcoin-cli来命令bitcoind进行挖矿或是发送交易之类的动作然而bitcoind除了默认只能被本机的bitcoin-cli呼叫bitcoind的设定档里面还会指定RPC user/passwordbitcoin-cli对bitcoind下RPC的时候必须附上正确的user/password 才给呼叫也就是说如果不知道bitcoind设定的user/password的话就算hacker从远端连入bitcoind也是没办法下RPC的Ethereum应该也会有这一套认证才对吧不知道hacker是怎么通过认证的

如果account处于unlock状态直接call是可以把钱干走

所以call RPC不用认证吗？连上RPC port就可以call了哦？

就是因为没验证连上就可以，后来版本才做修正

如果client端有开启设定，hacker连上client的端口，还不需要认证

说不定有远端溢位

号称最安全 结果一直出包 笑死