Прошлой ночью пользователи MyEtherWallet начали замечать что-то странное. При подключении к сервису они столкнулись с неподписанным сертификатом SSL, неработающей ссылкой по проверке сайта. Это было необычно, но это то, что пользователи не думая регулярно кликают.


Но каждый, кто нажал это предупреждение, был перенаправлен на сервер в России, который начал очищать кошелек пользователя. Судя по активности кошелька, нападавшие взяли по крайней мере 13 000 долларов в Ethereum за два часа пока длилась атака. Кошелек злоумышленников уже содержит более 17 миллионов долларов в Ethereum.

MyEtherWallet подтвердил атаку в заявлении Reddit.

«В настоящее время мы проверяем, какие серверы были нацелены на помощь в решении этой проблемы как можно скорее. Мы рекомендуем пользователям запускать локальную (автономную) копию MyEtherWallet», — сообщили в компании.

Нападающие, похоже, не скомпрометировали MyEtherWallet. Вместо этого они атаковали инфраструктуру Интернета, перехватывая DNS-запросы на myetherwallet.com, чтобы сделать российский сервер похожим на законного владельца адреса. Большинство затронутых пользователей использовали службу DNS 8.8.8.8 от Google. Однако, поскольку сервис Google рекурсивный, плохой список, вероятно, был получен через систему «Маршрут 53» Amazon.

Чтобы перехватить эти запросы, хакеры использовали метод, известный как захват BGP, который распространяет плохую информацию о маршрутизации как способ перехвата трафика в пути. Как правило, для снятия такого захвата требуется взломать серверы BGP, которыми управляет поставщик интернет-услуг или другой интернет-провайдер. В этом случае, захват происходил вблизи интернет-обмена в Чикаго, хотя источник компромисса до сих пор неизвестен.

До сих пор, MyEtherWallet являлся единственным подтвержденным сервисом, на который было совершенно нападение, хотя ряд других сервисов, вероятно, также пострадали от переориентирования.

BGP уязвимость давно известна как фундаментальная слабость в Интернете, которая была предназначена для принятия маршрутизации без проверки. Атаки DNS также распространены, и они были использованы Сирийской электронной армией для искажения череды сайтов в 2013 году.

Тем не менее, для BGP и DNS-уязвимостей весьма необычно использовать их, особенно при таком способе воровства. «Это крупнейшая масштабная атака, которую я видел, и которая сочетает в себе и то, и другое», — заявил исследователь Кевин Бомон в своем посте в одной из социальных сетей, — и это подчеркивает хрупкость интернет-безопасности».