MyEtherWallet piraté : les DNS de Google en cause
Le site Myetherwallet a été piraté ce 24 avril 2018 au niveau des serveurs DNS publics de Google (8.8.8.8, 8.8.4.4). L’attaquant a détourné le trafic du site web vers l’IP de son serveur de phishing basé en Russie, laissant la porte ouverte aux utilisateurs pour y déposer leurs clés privées… dans les poches du pirate.
Official statement regarding the DNS spoofing attack on MEWhttps://t.co/pHs3LCs9KK
— MyEtherWallet | MEW (@myetherwallet) April 24, 2018
Une fois connectés à leurs wallets, les fonds sont immédiatement envoyés à l’adresse de l’attaquant (0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29), pour finir sur des wallets détenus par des plateformes d’échanges. Au total sur l’opération, 215 ethers ont été dérobés en moins de 3 heures, et etherscan a même affiché un message sur ce portefeuille indiquant qu’elle servait à une arnaque de type « phishing » :
Les cryptos ne sont pas seules victimes de ce type d’attaques, et ce n’est pas la première fois qu’un nom de domaine se fait détourner au niveau des DNS et nous vous rappelons qu’il est important de vérifier le certificat SSL du site sur lequel vous vous connectez, voire d’utiliser myetherwallet en local pour gérer vos fonds, comme préconisé sur le site.
Au moment de l’écriture de l’article, les DNS de Google étaient revenus à la normale mais le cache DNS des fournisseurs d’accès dispose d’une durée de vie de 9000 secondes, et il est probable que de nombreux utilisateurs puissent être encore impactés.
Myetherwallet a annoncé que ce problème avait commencé à 12h UTC mais qu’ils faisaient tout pour améliorer la propagation des adresses IP légitimes, notamment en enjoignant les utilisateurs à modifier les DNS de Google par ceux de CloudFare (1.1.1.1 et 1.0.0.1).
Couple of DNS servers were hijacked to resolve https://t.co/xwxRJ4H4i8 users to be redirected to a phishing site. This is not on @myetherwallet side, we are in the process of verifying which servers to get it resolved asap.
— MyEtherWallet | MEW (@myetherwallet) April 24, 2018