据Bleeping Computer 6月11日发表的一篇文章称,据报导,有黑客利用以太坊客户端的错
误设定,盗取了大约价值两千万美元的以太币。
黑客能够使用以太坊软件访问应用程序,该软件配置其接口以公开远程过程调用(RPC)。
RPC界面允许第三方查询,与以太坊服务进行交互和检索数据,这意味着访问者可以获得私
钥,查看所有者的个人信息,甚至可以调动资金。
虽然大多数应用程序默认情况下会禁用此界面,并且即使打开它,通常也会配置为仅允许访
问本地运行的应用程序。但是,开发人员并不总是保持这种配置,有时在不知道危险的情况
下重新配置Ethereum客户端。
Ethereum项目很早就知道利用此漏洞的可能性,并于2015年8月向其用户发出了官方安全建
议警告,表明攻击的可能性很低,但潜在的严重程度很高。
根据Bleeping Computer,中国网络安全公司Qihoo 360 Netlab在3月份发现,至少有一个“
测试程序”正在使用端口8545上的RPC接口对暴露的以太坊软件进行大规模扫描。当时,360
Netlab表示一条推文:“迄今为止其账户上只有3.96234 Ether [~$ 2000- $ 3000],但
嘿它是免费的!”
6月11日,Netlab团队在再次回顾研究之后表示,8545港口的扫描从未停止过,但实际上随
著更多“测试程序”的加入而增加。目前,被盗的以太币数目为38,642.7,价值约1810万美
元。
直至现在,以太坊团队和共同创始人Vitalik Buterin都没有对事件作出回应
原文:https://cointmr.com/%E9%BB%91%E5%AE%A2%E4%BA%8B%E4%BB%B6%E4%B8%8D%E6%96%B7
-%E4%BB%A5%E5%A4%AA%E5%B9%A3%E6%85%98%E9%81%AD%E6AF%92%E6%89%8B/