150 000 $ volés aux utilisateurs de MyEtherWallet suite à un détournement de serveur DNS

Les utilisateurs de MyEtherWallet, une application Web permettant de stocker et d'envoyer de l'éther et des jetons basés sur l'éther, ont subi mardi une attaque qui a vu les utilisateurs du service perdre environ 152 000 $ d'éther.

L'entreprise a QUICK alerté les utilisateurs du danger, en tweetant un avertissement à 7h29 HAE, dans les 15 minutes suivant le début du piratage :

Quelques serveurs DNS ont été piratés pour résoudre<a href="https://t.co/xwxRJ4H4i8">https:// T.co/xwxRJ4H4i8</a>rediriger les utilisateurs vers un site d'hameçonnage. Ce n'est pas le cas@myetherwalletNous vérifions actuellement les serveurs sur lesquels résoudre le problème au plus vite.

— MyEtherWallet.com (@myetherwallet)24 avril 2018

Malgré cela, les utilisateurs se sont rendus sur les réseaux sociaux pour signaler qu’ils perdaient des fonds.

« Je suis allé sur myetherwallet et j'ai vu que myetherwallet avait [un] certificat de connexion invalide dans le coin », rotistainpubliésur le subreddit du portefeuille vers 8h30 HAE, ajoutant :

Dès que je me suis connecté, un compte à rebours d'environ 10 secondes a commencé et une transaction a été effectuée, envoyant l'argent disponible sur mon portefeuille vers un autre portefeuille (0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29). Je n'ai aucune idée de ce qui s'est passé.

Micky Socaci, développeur principal chez BlockBits.io,expliqué l'attaque dans un post sur le subreddit Ethereum .

« N'utilisez pas myetherwallet.com si vous utilisez Google Public DNS (8.8.8.8 / 8.8.4.4) en ce moment », a-t-il écrit, ajoutant : « Il semble que ces serveurs DNS résolvent le domaine en un mauvais serveur qui PEUT voler vos clés ! »

Son explication concorde avec l'affirmation de MyEtherWallet selon laquelle l'attaque n'était pas de leur côté. Les serveurs DNS (Domain Name System) associent les URL des sites web aux adresses IP appropriées.

L'argent en mouvement

Au moment de la mise sous presse, les fonds concernés sont mélangés et divisés en tranches plus petites, selon les données du fournisseur d'informations sur la blockchain Etherscan.

Initialement, l'explorateur de blocs Etherscan indiquait que 0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29 avait reçu 179 transactions entrantes à partir de 7h17 et totalisant 216,06 éthers, soit près de 152 000 $ au moment de la rédaction.

L'attaquant a envoyé 215 ether à une autre adresse, 0x68ca85dbf8eba69fb70ecdb78e0895f7cd94da83, à 10h15. Depuis lors, les fonds ont été encore divisés, les incréments étant répartis entremultiple portefeuilleadresses.

Selon le PDG de MyEtherWallet, Kosala Hemachandra, « tous les serveurs DNS renvoient des adresses correctes ».

« Mais je veux attendre encore une heure ou deux », a-t-il ajouté lors d'une conversation sur Skype.

Hemachandra a déclaré que les pirates étaient apparemment « suffisamment puissants pour empoisonner les serveurs DNS publics de Google, ce qui a permis de mettre en cache une adresse IP malveillante pour myetherwallet.com ». Google a résolu le problème « en très peu de temps », a-t-il ajouté.

« C'est vraiment regrettable. Nous vivons dans un monde où même les sites web les plus sécurisés sont exposés à ce type d'attaques », a déclaré Hemachandra à CoinDesk. « Je suis triste de cette situation et j'espère que l'équipe MEW saura sensibiliser les utilisateurs et les convaincre d'utiliser des portefeuilles matériels et des versions locales de MEW. »

Le service de presse de Google n'a pas immédiatement répondu à une Request de commentaire.

Pirate informatiqueimage via Shutterstock.