Etherscan se précipite pour brancher des vulnérabilités suite à d'étranges tentatives de piratage du jour au lendemain

Etherscan, l'explorateur de blockchain Ethereum le plus largement utilisé, a rapidement corrigé des vulnérabilités de sécurité pendant la nuit car les pirates ont exploité certaines parties de son service.

Hackers a manipulé l'API Disqus – un service tiers utilisé par Etherscan permet de laisser des commentaires sur les adresses du portefeuille Ethereum. Ils ont été en mesure d'exécuter une attaque XSS (Cross Site Scripting) pour injecter du code JavaScript dans son interface qui a forcé un message fantasmagorique à apparaître pour ses utilisateurs.

Il disait simplement: '1337' – qui est 'le lepspeak' pour «élite», une pseudo-langue populaire à l'aube d'Internet qui a remplacé les lettres anglaises par des symboles ASCII. Les utilisateurs de Twitter se sont empressés de partager le code pertinent:

Alors qu'il aurait semblé que les messages provenaient du service Etherscan lui-même, les développeurs ont signalé qu'aucun code nuisible n'avait été envoyé aux utilisateurs. L'équipe était également prête à désactiver la fonctionnalité associée pendant que les trous de sécurité étaient branchés.

Michael Hahn, programmeur de l'interface populaire Ethereum MyCrypto.com et Etherscam.db, a ajouté ceci dans un post de reddit :

Une attaque XSS, dans ce cas l'injection javascript, tirait parti de l'API qu'Etherscan utilise pour récupérer les derniers commentaires sur les adresses du CMS Disqus. Il ne semble pas qu'Etherscan ait servi un code malveillant quand il a été remarqué. Disqus commentaires sur Etherscan.io ont été désactivés jusqu'à ce qu'un correctif de sécurité est poussé qui va coder les données de l'API pour supprimer la vulnérabilité à XSS.

Être capable de montrer des commentaires non autorisés aux utilisateurs sous le couvert d'un message officiel est précisément ce qui peut conduire à un phishing généralisé. Les utilisateurs sans méfiance pourraient être amenés à passer des clés privées ou des informations sensibles, sans savoir qu'ils n'interagissaient pas officiellement avec Etherscan. Heureusement, dans ce cas, on leur a simplement montré un pop-up ennuyeux.

Bien que cette attaque semble sembler anodine – les injections JavaScript comme celles-ci font souvent partie d'un plan plus large de test d'intrusion ( pentest) un service en préparation pour une exploitation ultérieure

Une mise à jour rapide sur le script "1337" aléatoire apparaît le https://t.co/VAEURQyNAG https://t.co/3N222GMucu

– Etherscan.io (Ne pas donner d'éther) (@etherscan) Le 23 juillet 2018

L'analyse partagée par Etherscan semble également confirmer cela – il y avait quatre tentatives au total – le dernier était une tentative d '«injecter» une transaction web3.js dans le service Etherscan

Il y a eu trois tentatives d'injection du message d'alerte JS "1337". Le premier est apparu non malveillant avec le second 2 venant de quelqu'un que nous connaissons (très probablement expérimental). La 4ème tentative a essayé d'injecter un web3.js tx mais cela a été bloqué (tronqué) par notre backend.

Web3.js est la bibliothèque JavaScript Ethereum. C'est précisément cette bibliothèque qui permet aux extensions de navigateur comme MetaMask de traiter les transactions de cryptomonnaie sur la chaîne de blocs Ethereum.

Nous avons contacté Etherscan pour obtenir des éclaircissements sur les ramifications d'une injection web3.js non autorisée, et nous mettrons à jour cette histoire devrions-nous entendre en retour.

Ceci est juste le dernier d'une série d'attaques récentes subies par la blockchain Ethereum. Plus tôt ce mois-ci, les utilisateurs de MyEtherWallet (MEW) qui utilisaient l'extension VPN Hola ont été invités à retirer toute leur crypto-monnaie de leurs portefeuilles MEW à la suite d'un piratage prolongé de cinq heures

. Plus tôt, le service DNS d'Amazon a été piraté menant à la redirection des utilisateurs MEW vers une réplique exacte de son site officiel – un purement créé pour voler les clés privées des utilisateurs et entraîner la perte de plus de 200 ETH

Donc, bien qu'il n'y ait apparemment pas eu de dégâts dans ce cas-là – juste un pop-up ennuyeux – il peut y avoir plus d'attaques sur le chemin. En tout cas, c'est certainement le bon moment pour rafraîchir les stratégies pour éviter d'être phishing – et un rappel à ne jamais remettre vos clés privées à personne, jamais . 19659032] Publié 24 juillet 2018 – 10:00 UTC