Хакеры похитили более $20 млн через неправильно настроенные клиенты Ethereum

Группа хакеров сняла порядка $20 млн в криптовалюте Ethereum из аккаунтов и программ для майнинга на одноименном блокчейне. Об этом написало CoinDaily, ссылаясь на китайскую фирму в сфере IT-безопасности Qihoo 360 Netlab.
Мошенники пользовались программными приложениями Ethereum, которые предоставляли доступ к интерфейсу RPC через порт 8545.
Через этот интерфейс становится доступным программный API, по которому разрешенные сторонние службы или программы могут запрашивать данные от исходной службы, к примеру, программ для хранения криптовалюты, полученной от майнинга.
Интерфейс RPC открывает доступ к ряду важных функций и позволяет сторонним приложениям просматривать приватные ключи и персональные данные, а также проводить операции.
По умолчанию он отключен в большей части программ, а создатели предупреждают об опасности его включения в случае, если он не защищается ACL, фаерволом или другими методами проверки подлинности.
Несмотря на это предостережение, майнеры годами использовали неверно настроенные клиенты Ethereum. Многие из них потеряли средства через открытый интерфейс RPC.