Attacco a MyEtherWallet – Il giorno dopo

Ieri abbiamo riferito in diretta di un attacco agli utenti del sito MyEtherWallet (MEW). Nel frattempo il trambusto si è calmato. Qual è il tuo problema? Come ci si può proteggere?

Il sito web MyEtherWallet offre ai suoi utenti l’opportunità di interagire con la catena a blocchi Ethereum. Questo significa che è possibile interagire con contratti intelligenti, ad esempio per partecipare a un ICO in esecuzione come gettone ERC20. MEW è considerato uno dei punti di contatto su Internet per questi scopi.

L’uomo in mezzo all’attacco a MEW

Tanto più drammatici sono stati i messaggi che ieri su Internet si sono diffusi a macchia d’olio: “Attaccate MyEtherWallet! Non usare per ora”. L’attacco è iniziato intorno alle 12 di mezzogiorno UTC ed è durato circa due ore.

Era specificamente indirizzato a MyEtherWallet e gli utenti dovevano preoccuparsi del loro Ether (ETH). L’aggressore ha utilizzato un protocollo per instradare il traffico Internet tra i fornitori di servizi Internet (ISP) per i propri scopi (BGP). Ha così reindirizzato il traffico verso il proprio DNS e gli utenti verso un sito web falso.

Quindi l’attacco è stato un classico “Man In The Middle Attack” – una tecnica vecchia di decenni. La vulnerabilità non era dovuta a MyEtherWallet, ma alle note vulnerabilità di BGP.

La leggenda Cypherpunk Nick Szabo ha colto l’occasione dell’ora per sottolineare i punti deboli dei portafogli web. Se si desidera mantenere i vostri soldi al sicuro, non si dovrebbe sicuramente fare questo online.

Questo è come ci si può proteggere da soli

Per la sicurezza dei propri soldi ci sono due passi, relativamente semplici: Assicurarsi sempre che il certificato SSL, visto a sinistra della barra degli URL, sia verde. Se il certificato è rosso e barrato, si tratta di un sito web compromesso.

Installare MyEtherWallet localmente sul computer ed eseguirlo da lì. MEW è un’applicazione browser, cioè MEW può anche essere scaricato dal browser di vostra scelta. Tuttavia, si può essere così sicuri di non essere reindirizzati a un terzo sito web da un malintenzionato.
Dov’è l’aggressore?

Nel mondo delle catene di blocchi trasparenti, la traccia di eteri rubati – 215 ETH per la precisione – può essere tracciata con precisione. Il denaro è andato a questo indirizzo prima. Coloro che sono divertenti possono seguire il sentiero anche nel Blockexplorer. L’aggressore non sembra essere povero in ogni caso, uno degli indirizzi ha già immagazzinato circa 16 milioni di dollari USA. Con un prezzo di mercato di 650 dollari USA, la perdita ammonta a circa 140.000 dollari USA.

La dimensione dell’hack non può essere paragonata ad altri hacker. Nel 2018, circa 670 milioni di dollari USA erano già stati rubati da hacker e truffatori. Chiunque non abbia ancora preso alcuna misura di sicurezza dovrebbe prendere l’hack MEW come un’opportunità.