Le wallet « cloud » MyEtherWallet a été victime ce mardi d’une attaque de détournement de DNS. Celle-ci a permis aux pirates de rediriger les utilisateurs vers une version malveillante du site, et d’obtenir ainsi leurs clés privées.
L’incident a été rapporté par des utilisateurs de MyEtherWallet à travers le réseau social Reddit :
Il a ensuite été confirmé sur Twitter par MyEtherWallet :
Couple of DNS servers were hijacked to resolve https://t.co/xwxRJ4H4i8 users to be redirected to a phishing site. This is not on @myetherwallet side, we are in the process of verifying which servers to get it resolved asap.
— MyEtherWallet.com (@myetherwallet) 24 avril 2018
« Certains serveurs DNS ont été détournés, et ont redirigé les utilisateurs de myetherwallet.com vers un site de phishing. Il ne s’agit pas de l’exploitation d’une faille sur @myetherwallet. Nous sommes toujours en train de vérifier quels serveurs ont été impactés, afin de résoudre le problème au plus vite ».
Des utilisateurs se sont ainsi retrouvés sur un site de phishing après avoir tapé l’adresse myetherwallet.com dans leur navigateur. Ce site est alors parvenu à dérober les clés privées de certains de leurs portefeuilles.
It appears that Amazon’s DNS servers were hijacked in a malicious attack which affected MEW. https://t.co/ycdAcy8Uso
— MyEtherWallet.com (@myetherwallet) 24 avril 2018
Selon le spécialiste en cybersecurité Kevin Beaumont, cette attaque a d’ailleurs pu impacter d’autres sites.
Il semblerait que les pirates soient parvenus à obtenir environ 215 ETH (soit approximativement 125 000 euros) à travers cette attaque, qui a duré plusieurs heures. L’une de leurs victimes s’est faite voler à elle seule plus de 85 Ethers (soit près de 50 000 euros).
Les coins dérobés ont été envoyés vers ce portefeuille. Associé à de précédentes escroqueries, il contenait, lors de la rédaction de cet article, près de 14 millions euros d’Ethers et près de 125 000 euros de tokens.
En décembre dernier, la plateforme EtherDelta avait été victime d’une attaque similaire.
Les utilisateurs de portefeuilles Ledger et Trezor n’ont pas été impactés
Les internautes qui se sont connectés sur le site frauduleux avec un wallet « hardware » – comme un Trezor ou un Ledger – ont pu protéger leurs clés privées.
Il est toutefois possible que le site malveillant ait remplacé les adresses adossées à ces périphériques. C’est d’ailleurs la raison pour laquelle Trezor et Ledger ont invité les utilisateurs qui se seraient connectés aujourd’hui sur MyEtherWallet à bien vérifier les adresses qui s’afficheront sur l’écran de leur portefeuille :
Your private keys never leave the TREZOR device, so even this DNS hijack does not endanger your funds. However, it is possible that the fraudulent site might replace your addresses. Always verify the address on your TREZOR screen when sending and receiving. https://t.co/nWyN7OqeB8
— TREZOR (@TREZOR) 24 avril 2018
We’ve had questions re. @myetherwallet : Your private keys are safe on your Nano S so this attack won’t put your funds at risk. We do remind you to double check the transaction address & amount on your Nano S. This will guarantee your transactions are safe https://t.co/Fd5dxuFCi9
— Ledger (@LedgerHQ) 24 avril 2018
De son côté, MyEtherWallet a appelé les utilisateurs qui souhaiteraient utiliser son service à regarder attentivement la barre verte SSL située en haut de leur navigateur. Celle-ci doit normalement porter la mention « MyEtherWallet Inc ».
Make sure it is a greenbar SSL that says « MyEtherWallet Inc »
— MyEtherWallet.com (@myetherwallet) 24 avril 2018
Pour une sécurité renforcée, notez qu’il est possible de télécharger une extension pour navigateur qui va « blacklister » certains sites malveillants. Parmi les solutions les plus populaires pour les internautes qui utilisent Google Chrome, on retrouve EtherAddressLookup et MetaMask. Si ces outils ne permettent pas de se prémunir face au phishing, ils offrent la possibilité de bénéficier d’une sécurité supplémentaire.
Il est également possible de suivre ce tutoriel, qui explique comment lancer le logiciel MyEtherWallet à partir d’un ordinateur non connecté à Internet.
Enfin, nous vous invitons vivement à consulter ce guide :
It seems that everything is now back to normal, BUT PLEASE STAY SAFE and read/share this guide : https://t.co/uBlsJ8IoNw
— MyEtherWallet.com (@myetherwallet) 24 avril 2018