US$ 150 mil roubados de usuários do MyEtherWallet em sequestro de servidor DNS

Usuários do MyEtherWallet, um aplicativo da web para armazenar e enviar ether e tokens baseados em ethereum, sofreram um ataque na terça-feira que fez com que os usuários do serviço perdessem cerca de US$ 152.000 em ether.

A empresa foi QUICK em alertar os usuários sobre o perigo, tuitando um aviso às 7h29 EDT, 15 minutos após o início do hack:

Alguns servidores DNS foram sequestrados para resolver<a href="https://t.co/xwxRJ4H4i8">T</a>usuários sejam redirecionados para um site de phishing. Isso não está em@minhacarteiraetherlado, estamos no processo de verificar quais servidores para resolver o mais rápido possível.

— MyEtherWallet.com (@myetherwallet)24 de abril de 2018

Mesmo assim, os usuários recorreram às redes sociais para relatar que estavam perdendo fundos.

"Fui até o myetherwallet e vi que o myetherwallet tinha [um] certificado de conexão inválido no canto", rotistainpostadopara o subreddit da carteira por volta das 8h30 EDT, acrescentando:

"Assim que fiz login, houve uma contagem regressiva de cerca de 10 segundos e uma transação foi feita, enviando o dinheiro disponível que eu tinha na carteira para outra carteira '0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29'. Não tenho ideia do que aconteceu."

Micky Socaci, desenvolvedor líder na BlockBits.io,explicado o ataque em uma postagem no subreddit do Ethereum .

"Não use myetherwallet.com se estiver usando o DNS público do Google (8.8.8.8 / 8.8.4.4) neste momento", ele escreveu, acrescentando: "Parece que esses servidores DNS estão resolvendo o domínio para um servidor ruim que PODE roubar suas chaves!"

Sua explicação se encaixa com a afirmação da MyEtherWallet de que o ataque não foi do lado deles. Servidores do Sistema de Nomes de Domínio (DNS) resolvem URLs de sites para os endereços IP apropriados.

Dinheiro em movimento

No momento em que este texto foi escrito, os fundos afetados estavam sendo transferidos e divididos em parcelas menores, de acordo com dados do provedor de informações de blockchain Etherscan.

Inicialmente, o explorador de blocos Etherscan mostrou que 0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29 recebeu 179 transações de entrada a partir das 7h17 e totalizando 216,06 ether, ou quase US$ 152.000 no momento da redação deste artigo.

O invasor enviou 215 ether para outro endereço, 0x68ca85dbf8eba69fb70ecdb78e0895f7cd94da83, às 10h15. Desde então, os fundos foram divididos ainda mais, com incrementos sendo divididos entremúltiplo carteiraendereços.

De acordo com o CEO da MyEtherWallet, Kosala Hemachandra, "todos os servidores DNS estão retornando aos endereços corretos".

"Mas quero esperar mais uma [hora] ou mais", acrescentou ele durante uma conversa no Skype.

Hemachandra disse que os hackers eram aparentemente "grandes o suficiente para fazer um ataque de envenenamento de DNS nos servidores DNS públicos do Google, o que fez com que ele armazenasse em cache um endereço IP malicioso para myetherwallet.com". O Google corrigiu o problema "em um tempo muito curto", ele continuou dizendo.

"É realmente lamentável, vivemos em um mundo onde até mesmo os sites mais seguros são propensos a esse tipo de ataque", disse Hemachandra ao CoinDesk. "Estou triste com isso e espero que a equipe do MEW consiga educar os usuários e convencê-los [a] usar carteiras de hardware e versões locais do MEW."

A assessoria de imprensa do Google não respondeu imediatamente a um Request de comentário.

Hackerimagem via Shutterstock.