Offener RPC-Port: 20 Millionen Dollar aus Ethereum-Apps geklaut

Viele Ethereum-Systeme sind fehlerhaft konfiguriert und machen es trivial einfach, das angehäufte Krypto-Geld zu entwenden.

Ethereum-Client-Programme und Mining-Systeme nehmen Befehle über eine RPC-Schnittstelle auf Port 8545 entgegen. Dass diese Remote Procedure Calls (RPC) bei vielen Ethereum-Programmen eine Sicherheitslücke darstellen, ist seit Jahren bekannt. Die Ethereum-Entwickler selbst hatten davor bereits im Jahr 2015 gewarnt. Trotzdem scheint das viele Anwender der Software kaum zu stören. Wie die Sicherheitsfirma 360 Netlab berichtet, hat alleine eine Gruppe von Angreifern bisher mehr als 20 Millionen US-Dollar in Ethereum über den simplen Angriff abgeräumt.

Quelle: Offener RPC-Port: 20 Millionen Dollar aus Ethereum-Apps geklaut | heise Security