Los hackers robaron más de 20 millones de dólares a clientes de Ethereum mal configurados

Un grupo de piratas informáticos ha robado más de 20 millones de dólares en Ethereum de aplicaciones basadas en Ethereum y plataformas de minera, informó hoy la firma china de seguridad cibernética Qihoo 360 Netlab.

La causa de estos robos son las aplicaciones de software de Ethereum que se han configurado para exponer una interfaz RPC [Llamada a procedimiento remoto] en el puerto 8545.

El objetivo de esta interfaz es proporcionar acceso a una API programática para que un servicio o aplicación de terceros aprobada pueda consultar e interactuar o recuperar datos del servicio original de Ethereum, como una aplicación de monedero que los usuarios o las empresas hayan establecido para minar o administrar sus fondos.

Debido a su función, esta interfaz RPC otorga acceso a algunas funciones bastante delicadas, lo que permite a una aplicación de terceros la capacidad de recuperar claves privadas, mover fondos o recuperar los datos personales del propietario.

Como tal, esta interfaz viene deshabilitada de forma predeterminada en la mayoría de las aplicaciones y suele ir acompañada de una advertencia de los desarrolladores de la aplicación original para que no la activen a menos que esté asegurada por una lista de control de acceso (ACL), un firewall u otros sistemas de autenticación.

Casi todos los software basados en Ethereum vienen con una interfaz RPC hoy en día, y en la mayoría de los casos, incluso cuando están encendidos, están configurados adecuadamente para escuchar solicitudes solo a través de la interfaz local (127.0.0.1), es decir, desde aplicaciones que se ejecutan en la misma máquina como la aplicación minera/monedero original que expone la interfaz RPC.

Algunos usuarios no desean leer la documentación

Pero a través de los años, se sabe que los desarrolladores juegan con sus aplicaciones de Ethereum, a veces sin saber lo que están haciendo.

Este no es un problema nuevo. Meses después de su lanzamiento, el Proyecto Ethereum envió un aviso de seguridad oficial para advertir que algunos de los usuarios del software de geth Ethereum estaban ejecutando plataformas de minería con esta interfaz abierta a conexiones remotas, permitiendo a los atacantes robar sus fondos.

Pero a pesar de la advertencia de los desarrolladores oficiales de Ethereum, los usuarios han seguido configurando incorrectamente a sus clientes de Ethereum a lo largo de los años, y muchos han informado que perdieron fondos de la nada, pero que luego se remontaron a interfaces RPC expuestas.

Análisis de interfaces expuestas intensificadas el año pasado

Los escaneos de estos puertos se han estado llevando a cabo silenciosamente durante años, pero con los precios de la criptomoneda creciendo a niveles récord en 2017, varios grupos de hackers se han unido al redil en busca de dinero fácil que queda expuesto en línea.

Uno de los picos más altos en la actividad de escaneo se registró el año pasado, en noviembre, cuando una persona inició un escaneo masivo de todo Internet en busca de los puntos finales Ethereum JSON RPC.

Esos escaneos fueron exitosos, ya que el hacker pronto identificó que una versión de la aplicación Electrum Wallet se enviaba con su JSON RPC habilitado de manera predeterminada, permitiendo a cualquier persona acceder a los fondos de los usuarios si alguien supiera dónde buscar.

En mayo de 2018, Satori una de las botnets IoT más grandes de la actualidad también comenzó a buscar mineros de Ethereum que se dejaron expuestos accidentalmente en línea.

Nuevos escaneos que apuntan al puerto 8545

Esos ataques se dirigieron a dispositivos que se ejecutan en el puerto 3333, pero para la mayoría de estas aplicaciones, su interfaz RPC predeterminada reside en el puerto 8545.

De acuerdo con expertos en seguridad de Qihoo 360 Netlab, al menos un hacker comenzó escaneos masivos para el puerto 8545, en busca del software Ethereum que quedó expuesto en línea.

Esos escaneos comenzaron en marzo, este año, y en ese momento, el atacante había hecho solo alrededor de 3.96234 Ether (entre 2,000 a 3,000 dólares).

Revisando esa investigación hoy, el equipo de Netlab dice que los escaneos para el puerto 8545 nunca se detuvieron, sino que se intensificaron cuando varios grupos se unieron a la actividad de escaneo, con un solo grupo siendo más exitoso que la mayoría, después de lograr desviar más de 20 millones de dólares.

"Si tiene un honeypot en ejecución en el puerto 8545, debería poder ver las solicitudes en la carga útil, que tiene las direcciones de billetera", dice el equipo de Netlab. "Y hay bastantes IPs escaneando mucho en este puerto ahora".

Con un montón de herramientas para automatizar el escaneo y para atacar el puerto 8545 disponibles en GitHub, abrir intencionalmente su servicio de minería o aplicación de monedero en el puerto 8545 es un suicidio financiero.

Sin embargo, con más de 20 millones de dólares robados en los últimos meses por solo un grupo, aparentemente hay muchos usuarios que no pueden molestarse en leer la documentación de su aplicación antes de configurar una billetera Ethereum o una plataforma de minería.

Solo se espera que los escaneos para el puerto 8545 aumenten, ya que el éxito de este grupo seguramente atraerá a más gente que busca dinero rápido.

Se recomienda a los propietarios de billeteras Ethereum y equipos de minería que revisen la configuración de su nodo Ethereum y se aseguren de no exponer la interfaz RPC a las conexiones externas.