Topic: ATTENZIONE: il sito di MyEtherWallet è parzialmente compromesso - page 2. (Read 337 times)
Esatto, sono stati compromessi i DNS di Google e li hanno usati per reindirizzare il sito di MEW, avrebbero potuto farlo anche con altri. Comunque come fatto notare non era presente il protocollo di sicurezza del sito, e doveva anche avvisare in qualche modo, quindi chi ha deciso di proseguire lo stesso è stato parecchio, come dire, imprudente...
se ho capito bene hanno cambiato alcuni dns in modo che ti riportava su un finto sito e una volta inserite le privkey il truffatore le copiava e svuotava i wallet. fino a ieri sera aveva preso oltre 400 ethereum
infatti hanno hackerato i dns di google e dal motore di ricerca venivi re-indirizzato al sito di pishing,
però il navigatore attento si accorge che il protocollo non è https e non c'e' un certificato valido dando un'occhiata alla barra di navigazione,
insomma si poteva evitare, mew te lo dice chiaramente ogni volta che accedi di controllare bene prima di inviare le chiavi private e di installare le estensioni
per evitare il pishing....
Da quello che ho capito non è stato Myetherwallet ad essere hackerato ma i DNS di google.Chiunque aveva impostato come DNS quelli di google e si collegava su myetherwallet veniva reindirizzato su un sito di phishing fatto ad hoc.
Io non ho capito qual è stato il problema però. Hanno effettivamente trovato una falla che poi è rientrata? Una falla che permetteva di "perdere" la chiave privata nel caso di log-in?
Nel caso, da quanto tempo era presente questa problematica?
Nel caso, da quanto tempo era presente questa problematica?
se ho capito bene hanno cambiato alcuni dns in modo che ti riportava su un finto sito e una volta inserite le privkey il truffatore le copiava e svuotava i wallet. fino a ieri sera aveva preso oltre 400 ethereum
Usando un hardware wallet o metamask si risolve tutto senza regalare chiavi private, o no?
In questo caso la chiave privata è al sicuro ma se effettui una transazione sul sito falso questa viene automaticamente indirizzata verso l'address del truffatore.
Per una maggiore sicurezza sarebbe meglio utilizzare la versione in "locale" di MEW prelevandola dal sito github ufficiale.
Io non ho capito qual è stato il problema però. Hanno effettivamente trovato una falla che poi è rientrata? Una falla che permetteva di "perdere" la chiave privata nel caso di log-in?
Nel caso, da quanto tempo era presente questa problematica?
Nel caso, da quanto tempo era presente questa problematica?
se ho capito bene hanno cambiato alcuni dns in modo che ti riportava su un finto sito e una volta inserite le privkey il truffatore le copiava e svuotava i wallet. fino a ieri sera aveva preso oltre 400 ethereum
Usando un hardware wallet o metamask si risolve tutto senza regalare chiavi private, o no?
Io non ho capito qual è stato il problema però. Hanno effettivamente trovato una falla che poi è rientrata? Una falla che permetteva di "perdere" la chiave privata nel caso di log-in?
Nel caso, da quanto tempo era presente questa problematica?
Nel caso, da quanto tempo era presente questa problematica?
se ho capito bene hanno cambiato alcuni dns in modo che ti riportava su un finto sito e una volta inserite le privkey il truffatore le copiava e svuotava i wallet. fino a ieri sera aveva preso oltre 400 ethereum
Io non ho capito qual è stato il problema però. Hanno effettivamente trovato una falla che poi è rientrata? Una falla che permetteva di "perdere" la chiave privata nel caso di log-in?
Nel caso, da quanto tempo era presente questa problematica?
Nel caso, da quanto tempo era presente questa problematica?
quindi e tornato tutto alla normalita? ci si puo loggare tranquillamente inserento la propria chiave privata sul sito? un hardware wallet scarica tutta la blockchain?...
Un hardware wallet non scarica tutta la bc. Semplicemente se ti colleghi ad un sito compromesso non perdi le private key perchè sono criptate e conservate al sicuro nel dispositivo. 
quindi e tornato tutto alla normalita? ci si puo loggare tranquillamente inserento la propria chiave privata sul sito? un hardware wallet scarica tutta la blockchain?...
I developer di mew hanno segnalato che tutto è rientrato, ma vi consiglio vivamente di utilizzare un hardware wallet e di attendere qualche giorno che tutto rientri alla normalità, non si sa mai.
Tweet ufficiale di MEW: https://twitter.com/myetherwallet/status/988787116015415296
Un altro tweet di MEW: https://twitter.com/myetherwallet/status/988830652526092288
Ora sembra che la situazione sia tornata alla normalità: https://twitter.com/myetherwallet/status/988836522974572544
Quote
Couple of DNS servers were hijacked to resolve http://myetherwallet.com users to be redirected to a phishing site. This is not on @myetherwallet side, we are in the process of verifying which servers to get it resolved asap.
Un altro tweet di MEW: https://twitter.com/myetherwallet/status/988830652526092288
Quote
Google Domain Name System registration servers were hijacked earlier today at roughly 12PM UTC so that MEW users were redirected to a phishing site. This redirecting of DNS servers is a decade-old hacking technique that aims to undermine the Internet’s routing system.
Ora sembra che la situazione sia tornata alla normalità: https://twitter.com/myetherwallet/status/988836522974572544
Quote
It seems that everything is now back to normal, BUT PLEASE STAY SAFE and read/share this guide
Ho appena letto questo in un gruppo su Telegram:
We’re working to learn more, but it appears that the MyEtherWallet website has been comprised. People have reported logging in and having their funds auto-withdrawn.
No comment has been made by the MEW team. Remember, MEW doesn’t store your tokens, it’s just a way to access them! So if MEW is compromised your tokens are safe as long as you don’t log in.
E qui potete leggere il topic su Reddit: https://www.reddit.com/r/MyEtherWallet/comments/8ek0jj/think_i_got_scammedphishedhacked/
Articolo in italiano: https://cryptonomist.ch/blockchain/myetherwallet-hackerato/
Quindi al momento non inserite la vostra chiave privata tramite il sito.
We’re working to learn more, but it appears that the MyEtherWallet website has been comprised. People have reported logging in and having their funds auto-withdrawn.
No comment has been made by the MEW team. Remember, MEW doesn’t store your tokens, it’s just a way to access them! So if MEW is compromised your tokens are safe as long as you don’t log in.
E qui potete leggere il topic su Reddit: https://www.reddit.com/r/MyEtherWallet/comments/8ek0jj/think_i_got_scammedphishedhacked/
Articolo in italiano: https://cryptonomist.ch/blockchain/myetherwallet-hackerato/
Quindi al momento non inserite la vostra chiave privata tramite il sito.
Jump to: