Заходившие на сайт MyEtherWallet.com пользователи перенаправлялись на его фишинговую копию.
Неизвестный хакер или хакеры взломали DNS-серверы online-кошелька MyEtherWallet.com, в результате чего заходившие на сайт пользователи перенаправлялись на его поддельную версию. После авторизации жертв на поддельном сайте злоумышленники похищали их закрытые ключи, с помощью которых получали доступ к криптовалютным кошелькам.
Поддельные сайты можно было легко заметить, поскольку хакер использовал самоподписанный TLS-сертификат, вызывавший ошибку во всех современных браузерах. Тем не менее, далеко не все пользователи обратили внимание на ошибку и продолжали процесс авторизации.
Спустя около двух часов после того, как MyEtherWallet начал восстанавливать доступ к своим записям DNS, злоумышленник уже успел перевести похищенную криптовалюту на свой кошелек. В общей сложности хакеру удалось похитить 25 монет Ether стоимостью $160 тыс. на момент осуществления транзакции.
Согласно специалистам Oracle Internet Intelligence (подразделения, ранее известного как Dyn Research), хакер взломал записи DNS путем перехвата маршрутов BGP, перенаправляя целые полосы интернет-трафика, предназначенного для серверов Amazon, на подконтрольные ему системы. Часть перехваченного трафика предназначалась для DNS-серверов Amazon, используемых разработчиками MyEtherWallet. Затем злоумышленник перевел разрешения доменного имени для MyEtherWallet.com на IP-адрес в России, где размещалась поддельная копия сайта.
Одно найти легче, чем другое. Спойлер: это не темная материя