Hacker piratea el servidor DNS de MyEtherWallet para robar 160000 dólares
Un pirata informático (o grupo de piratas informáticos) ha secuestrado los servidores DNS de MyEthereWallet.com, un servicio de monedero Ether basado en la web.
Los usuarios que acceden al sitio fueron redirigidos a una versión falsa del sitio web. A los que ingresaron se les robaron las llaves privadas de su billetera, que el atacante utilizó para vaciar las cuentas.
Los administradores de MyEtherWallet detectaron el evento de secuestro de DNS e intentaron advertir a los usuarios a través de Twitter.
Couple of DNS servers were hijacked to resolve https://t.co/xwxRJ4H4i8 users to be redirected to a phishing site. This is not on @myetherwallet side, we are in the process of verifying which servers to get it resolved asap.
— MyEtherWallet.com (@myetherwallet) 24 de abril de 2018
El sitio web falso era fácil de detectar porque los atacantes usaban un certificado TLS autofirmado que desencadenaba un error con todos los navegadores modernos.
MyEtherWallet has hacked, DO NOT LOGIN TO MEW RIGHT NOW. Hacker wallet https://t.co/AipwC6COh8 #ethereum #MyEtherWallet pic.twitter.com/9ZKOh3U3ti
— Crypto Beethoven (@CryptoBeethoven) 24 de abril de 2018
Sin embargo, no todos los usuarios prestaron atención al error HTTPS y procedieron a iniciar sesión en sus cuentas. De acuerdo con los usuarios que informaron perder fondos, el hacker recogió todo el Ether en la siguiente wallet 0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29.
Después de aproximadamente dos horas y después de que MyEtherWallet comenzara a recuperar el acceso a través de sus entradas de DNS, el pirata informático transfirió los fondos robados a otra cuenta. En general, el atacante se hizo con 215 Ether, el equivalente a 160000 dólares, en el momento de la transacción.
Según la división de Inteligencia de Internet de Oracle (anteriormente conocida como Dyn Research), el pirata informático pudo secuestrar las entradas de DNS después de ejecutar un secuestro de ruta BGP que redirigió toda la franja de tráfico de Internet destinada a los servidores de Amazon a los sistemas que controlaban.
BGP hijack this morning affected Amazon DNS. eNet (AS10297) of Columbus, OH announced the following more-specifics of Amazon routes from 11:05 to 13:03 UTC today:
— InternetIntelligence (@InternetIntel) 24 de abril de 2018
205.251.192.0/24
205.251.193.0/24
205.251.195.0/24
205.251.197.0/24
205.251.199.0/24
Parte del tráfico secuestrado fue para servidores DNS de Amazon, utilizados por el equipo MyEtherWallet. Los atacantes luego señalaron las resoluciones de nombres de dominio para el dominio MyEtherWallet.com a una dirección IP ubicada en Rusia, donde alojaron su versión falsa del sitio web MyEtherWallet que registró las claves privadas.
El incidente MyEtherWallet no es el primer ataque de secuestro de DNS contra un dominio relacionado con criptomonedas. En enero de 2018, los piratas informáticos secuestraron los servidores de BlackWallet.com y lograron robar más de 400,000 dólares de fondos Stellar Lumen (XLM).
EtherDelta sufrió un incidente de secuestro de DNS similar antes de la Navidad de 2017, pero hasta el día de hoy todavía no sabemos cuántos fondos robó el atacante. Classic Ether Wallet y el sitio web Etherparty ICO también sufrieron secuestros de DNS.