Place des d�fauts biologiques Ethernet caus�s ensemble cent millions de jetons vol important

Chasse Nuage Note: Pour les jetons ensemble en raison du vol des d�fauts majeurs biologiques caus�s par Ethernet Square, cet article �quipe de brouillard processus lent d'une attaque, la ligne de temps d'attaque, affectant la posture et la d�fense a recommand� quatre de proc�der � la description d�taill�e, faites des pens�es de la s�curit� �cologique . Source: brouillard lent Zone (ID: SlowMist). Il se lit comme suit:

R�cemment, l'�quipe de s�curit� anti-brouillard lente observ�e avec les attaques automatis�es pirates de la monnaie, un attaquant � l'aide d'un des noeuds Ethernet place Geth / parit� d�faut d'authentification API RPC, eth_sendTransaction des appels malveillants remplacer l'argent vol�, la dur�e maximale de deux ans, seul et vol� pas tourn� les pi�ces Ethernet vaut jusqu'� 20 millions $ aux prix courants, il y a 164 sortes de types de jetons, difficile d'estimer la valeur totale des (nombreux jetons ne sont pas encore officiellement publi� � la Bourse). suit la figure:

processus d'attaque

�quipe lente s�curit� anti-brouillard victimes de renseignement int�gr�, Reddit information et d'analyse honeypot journal, retours en arri�re comportement agressif pourrait �tre:

8545 mondial Port Scan (HTTP JSON RPC API), (API WebSocket JSON RPC) port 8546 et autre noeud Ethernet carr� ouvert, envoyer eth_getBlockByNumber, eth_accounts, eth_getBalance d�placement hauteur du bloc, l'adresse de bourse et l'�quilibre

Eth_sendTransaction appels r�p�t�s constamment pour tenter de transf�rer le solde au portefeuille de l'attaquant

Quand l'utilisateur vient de frapper le noeud lors de l'ex�cution UnlockAccount pour leurs portefeuilles, sur une p�riode de dur�e sans avoir � entrer le mot de passe pour la signature de la transaction, cette fois attaquant d'appel eth_sendTransaction sera ex�cut� correctement, le solde produit au portefeuille de l'attaquant

remarques:

l'introduction de la fonction UnlockAccount

La fonction va utiliser le mot de passe extraite de la cl� priv�e local dans un fichier de cl�s et stock�es dans la m�moire, la troisi�me dur�e de la fonction de param�tre repr�sente la cl� priv�e d�crypt�e stock� dans la m�moire la valeur par d�faut est de 300 secondes;. Si la valeur 0, le permanent restent en m�moire jusqu'� la sortie Geth / parit�. voir:

https://github.com/ethereum/go-ethereum/wiki/Management-APIs#personal_unlockaccount

attaque Timeline

Nous avons effectu� une analyse d�taill�e de l'adresse de portefeuille de l'attaquant sur Etherscan, obtenir la principale attaque suivante Timeline:

14/02/201615:59:14 Le premier IN (Houston), ce jour est la Saint Valentin

16/02/201618:33:30 La seconde IN, apr�s un d�lai de deux jours, la sp�culation automatis�e programme d'attaque pour la premi�re fois en ligne

19/05/201619:46:33 premier sorti (hors compte), puis co-IN 51 coups

20/07/201618:35:57 seconde OUT, dans 57 cas au total des stylos

11.05.201718:34:35 Shapeshift (bien connu Exchange) dans 7 stylo, une p�riode de 71 jours

10/06/201702:39:53 OUT somme finale, cette fois-ci un total d'environ 207 coups IN

21/06/201707:46:49 f2pool (piscine min�rale bien connue) EN 36 stylo, couvre quatre heures

Cette chronologie retra�ant l'analyse assist�e c�t�-traces du comportement de l'attaquant.

Influer sur la situation

Par le syst�me (MOOZ) de l'�quipe de s�curit� anti-brouillard unique de Mo lent environ 4,2 milliards de sonde globale de balayage de l'espace IPv4 constat� que l'exposition au public et des noeuds Ethernet ouvert API RPC place a plus de 10000. Ces nuds sont pr�sents directement pirates attaquent la monnaie � haut risque.

d�fense recommand�

1, modifier le port par d�faut API RPC, telles que la configuration: -rpcport 8377 ou 8378 -wsport

2, modifier l'adresse de surveillance API RPC au sein du r�seau, telles que la configuration: -rpcaddr 192.168.0.100 ou -wsaddr 192.168.0.100

3, dispos�s sur les iptables API RPC limitent port d'acc�s, par exemple: 192.168.0.101 ne permettent que l'acc�s au port 8545:

ENTR�E iptables -A -s 192.168.0.101 TCP -p -dport 8545 -j ACCEPT

iptables -A ENTR�E -p TCP -dport 8545 DROP -j

4, les informations de compte (keystore) Ne pas stocker dans le nud (parce que le compte n'est pas sur le nud, donc nous ne pas utiliser un UnlockAccount)

5, tout transfert de sendTransaction sont utilis�s web3 et sendRawTransaction Envoyer signature priv�e sur la transaction

6, la s�paration physique cl� priv�e (comme portefeuille froid, la transcription manuelle) ou le stockage et la protection des cl�s de cryptage de s�curit� �lev�e

r�flexion

Par reproduction int�grale de cet �v�nement enqu�te de suivi et les m�thodes d'attaque, nous sommes de plus en plus conscients de l'obscurit� du cyberespace suit la loi de la jungle, la loi de l'auto-r�f�rence � trois corps �: � L'univers est une for�t sombre, chaque civilisation est un des chasseurs d'armes � feu , comme des fant�mes se faufilent dans la for�t, piquez doucement hors du chemin des branches, en essayant de suivre le rythme emit peu la voix, la respiration doit �tre prudent, il faut faire attention car la for�t partout avec lui en tant que chasseurs furtifs, S'il a trouv� une autre vie, je ne peux faire qu'une seule chose, le feu d�truire ".

Nous avons soigneusement re-r�gler tous les d�tails de ce jeu pendant deux ans et est toujours actif dans l'attaque, l'attaquant si nous sommes, nous projetons un script, vous pouvez facilement gagner des dizaines de monde de milliers, voire des millions m�me de millions d'actifs num�riques .

Nous avons besoin d'une mention sp�ciale � la fa�on dont l'attaquant, ne sais pas si vous avez pas remarqu�, pourquoi attaquer la premi�re �tape pour obtenir l'appel est la hauteur du bloc eth_getBlockByNumber? Les d�tails de l'appel est: eth_getBlockByNumber ( � 0x00 �, false), si la hauteur du bloc est pas � ce jour, l'appel sera rapport incorrect, suivi est pas n�cessaire d'examiner la mise en uvre du portefeuille, les demandes de solde et d'autres op�rations, parce que l'�quilibre ne sont pas pr�cis, et la derni�re �tape de l'op�ration de transfert est certainement pas compl�te. Cette conception logique d'attaque pour ce sc�nario d'attaque est une conception esth�tique tr�s violente.

Nous de la mentionn�e ci-dessus vue � Timeline Attack �, l'attaquant fait tr�s g�n�ral, cette attaque latente se produit avant la premi�re place Ethernet, une histoire bien connue des attaques de pirates informatiques L'�v�nement DAO (17.06.2016 ), et il a �t� officiellement reconnu par la p�riode de la technologie Ethernet place du march�. Comme on peut le voir, l'attaquant est tr�s t�t les chercheurs de la technologie Ethernet place et les pirates informatiques vraiment comprendre la technologie d'ing�nierie. Dans le processus Attacker r�el de l'optimisation continue de ce projet.

Nous avons �galement l'API RPC fonctions du module li�es � une analyse plus pouss�e a r�v�l� un certain nombre de risques potentiels pour la s�curit�, mais aussi besoin d'attention, par exemple: si le RPC API activ� le module personnel, vous pouvez sauter le mot de passe par la m�thode personal_unlockAccount, si le dynamitage r�ussi, vous pouvez obtenir un d�verrouillage d'un temps + transferts. Si l'API RPC activ� mineur module, peut �tre modifi� par adresse de bourse m�thode d'exploitation miner_setEtherbase.

Notre sonde dans l'ensemble du r�seau du syst�me Mo (Mooz), nous avons constat� que ces expos�s au r�seau public noeud module API RPC ouvert Ethernet place varient. Cette diff�rence fournit les conditions d'une attaque plus sophistiqu�e.

Du point de vue de l'analyse de la d�fense, nous avons �galement constat� que, Geth et un autre m�canisme d'enregistrement est imparfait, ne peut pas enregistrer la demande API source RPC IP (Configurer debug, -verbosity 5 ne sont pas valides), menant directement � un nud sur une attaque de tra�abilit� forensics attaque Ethernet place qui IP est une chose tr�s p�nible.

Bien que la place Ethernet robuste lui-m�me a r�sist� � l'�preuve, mais la s�curit� est un tout. A travers cet �v�nement, nous pouvons voir quelques failles de s�curit� �cologique Ethernet carr�s, des failles de s�curit� qui pourraient �tre envisag�es est un m�canisme qui oblige l'utilisateur � faire attention, mais pour l'utilisateur de faire le seuil de s�curit� est trop �lev�. Seuil �lev� de s�curit� doit �tre plus susceptibles de se reproduire ces grandes attaques.

Enfin, nous voulons divulguer cet article donnera cet �cosyst�me pour apporter plus de s�curit�.

Cet article provient de r�seau de nuages de chasse, si la r�impression, s'il vous pla�t indiquer la source: http: //www.lieyunwang.com/archives/422009

AD: l'int�gration r�seau nuage de chasse attaque et AI Intelligence artificielle Plan�te 2018 Sommet annuel de l'industrie se tiendra � l'H�tel Grand Hilton � Shenzhen en Chine No. 17 Avril. Voici les plus profondeur de la pens�e, le plus de conseils d'investissement pr�cieux, ainsi que le plus cool de d�monstration de la technologie noire, � ne pas manquer.