Неизвестному злоумышленнику удалось установить контроль над доменом Classic Ether Wallet, являющимся клиентской частью системы кошельков для криптовалюты Ethereum Classic (ETC).
Сообщается, что атака произошла около полуночи, в ночь с четверга 29 июня на пятницу 30 июня. Неизвестному хакеру удалось убедить службу поддержки провайдера веб-хостинга 1and1 передать ему от реального владельца контроль над официальным доменом.
Хакер воровал параметры входа и переадресовывал транзакции
Хакер сразу же переадресовал главный домен кошелька на свой сервер и изменял транзакции так, чтобы средства направлялись на его счета.
Взлом был выявлен спустя несколько часов, и разработчики криптовалюты Ethereum Classic уведомили пользователей о необходимости временно приостановить пользование сервисом.
*Warning* We have reason to believe https://t.co/gqITK3Z5xU has been hijacked. Do not use!!
— Ethereum Classic (@eth_classic) June 30, 2017
Поскольку не удавалось быстро восстановить контроль над доменом, некоторые пользователи в отчаянии предложили запустить DDoS-атаки на сайт, чтобы тот принудительно перешел в оффлайн-режим, а другие пользователи не стали жертвой мошенничества и не потеряли свои деньги.
Спустя несколько часов, команда ETC, при помощи других специалистов по криптовалюте, занесла домен в черный список Cloudflare. Пользователей, заходящих на сайт, встречало такое предупреждение о фишинге:
На момент написания данной статьи, сайт все еще не работает. Пользователи, посетившие сайт и вошедшие в свои учетные записи 30 июня, «засветили» личные ключи от своих кошельков, которыми хакер воспользовался для кражи средств с их счетов. Те пользователи, которые выполняли транзакции, обнаруживали, что их деньги уходят на кошелек другого лица.
Хакер украл около $300 000
Пострадавшие пользователи опубликовали несколько ETC-адресов, куда перенаправлялись их деньги. Один из пользователей сообщил, что потерял 800 ETC ($14 500), а другой – 201 ETC ($3 600).
Судя по имеющимся сообщениям, со взломанных счетов хакер мог вывести ETC на сумму примерно в $300 000.
ETC funds were transferred in small transactions to numerous other accounts, a clue that the attacker might have used a «tumbler» service to hide his tracks.
Средства маленькими транзакциями пересылались на большое количество других счетов. Это дает возможность предположить, что для заметания следов злоумышленник использовал сервис (cryptocurrency tumbler) позволяющий объединять различные переводы с целью скрытия оригинального источника перевода.