De dienst MyEtherWallet zegt dat een deel van zijn bezoekers dinsdag is omgeleid naar een phishingsite doordat aanvallers een aantal dns-servers hadden gekaapt. Daardoor kwamen sommige gebruikers op de kwaadaardige site terecht en verloren ze ether.
In zijn verklaring rept MyEtherWallet niet van slachtoffers maar schrijft het dat 'getroffen gebruikers mogelijk een ssl-waarschuwing op de kwaadaardige versie van zijn site hebben genegeerd'. Daarmee doelt het erop dat de phishingsite niet voorzien was van een geldig certificaat. Doordat bezoekers alsnog inlogden, was een de aanvaller in staat om ether te stelen, die deze zou hebben verzameld in een eigen wallet. Daaraan is recentelijk 215 ether onttrokken, wat neerkomt op omgerekend ongeveer 115.000 euro.
Volgens beveiligingsonderzoeker Kevin Beaumont gebruikte de onbekende aanvaller bgp om verkeer bestemd voor Amazons Route 53-dns-dienst om te leiden via een server bij Equinix in Chicago. Daardoor zouden gebruikers van MyEtherWallet, dat volgens Beaumont tot nu toe het enige bekende slachtoffer is, omgeleid zijn naar de phishingsite die zich in Rusland bevindt. Volgens Oracles Internet Intelligence duurde de omleiding ongeveer twee uur.
Amazon zegt in een verklaring aan Ars Technica dat 'noch AWS noch Route 53 zijn overgenomen of gehacked'. Het vervolgt: "Een upstream isp was overgenomen door een aanvaller die vervolgens de provider inzette om een deel van de Route 53-ip-adressen aan andere netwerken te announcen waarmee deze isp was gepeered." Daardoor zou een klein deel van het verkeer voor een klant zijn omgeleid naar de kwaadaardige versie van diens site. Op zijn statuspagina toont Amazon meer informatie over het incident bij Route 53.
Equinix reageerde eveneens tegenover Ars Technica en stelt dat het niet om een eigen server ging maar om die van een klant in zijn datacentrum in Chicago. Volgens Beaumont is het onwaarschijnlijk dat MyEtherWallet het enige doelwit van de aanval was. De aanval, die volgens de onderzoeker de grootste is die bgp en dns combineerde, zou bovendien 'de kwetsbaarheid van het internet benadrukken'.