據Bleeping Computer 6月11日發表的一篇文章稱，據報導，有黑客利用以太坊客戶端的錯
誤設定，盜取了大約價值兩千萬美元的以太幣。
黑客能夠使用以太坊軟件訪問應用程序，該軟件配置其接口以公開遠程過程調用（RPC）。
RPC界面允許第三方查詢，與以太坊服務進行交互和檢索數據，這意味著訪問者可以獲得私
鑰，查看所有者的個人信息，甚至可以調動資金。
雖然大多數應用程序默認情況下會禁用此界面，並且即使打開它，通常也會配置為僅允許訪
問本地運行的應用程序。但是，開發人員並不總是保持這種配置，有時在不知道危險的情況
下重新配置Ethereum客戶端。
Ethereum項目很早就知道利用此漏洞的可能性，並於2015年8月向其用戶發出了官方安全建
議警告，表明攻擊的可能性很低，但潛在的嚴重程度很高。
根據Bleeping Computer，中國網絡安全公司Qihoo 360 Netlab在3月份發現，至少有一個「
測試程序」正在使用端口8545上的RPC接口對暴露的以太坊軟件進行大規模掃描。當時，360
Netlab表示一條推文：「迄今為止其賬戶上只有3.96234 Ether [～$ 2000- $ 3000]，但
嘿它是免費的！」
6月11日，Netlab團隊在再次回顧研究之後表示，8545港口的掃描從未停止過，但實際上隨
著更多「測試程序」的加入而增加。目前，被盜的以太幣數目為38,642.7，價值約1810萬美
元。
直至現在，以太坊團隊和共同創始人Vitalik Buterin都沒有對事件作出回應
原文：https://cointmr.com/%E9%BB%91%E5%AE%A2%E4%BA%8B%E4%BB%B6%E4%B8%8D%E6%96%B7
-%E4%BB%A5%E5%A4%AA%E5%B9%A3%E6%85%98%E9%81%AD%E6AF%92%E6%89%8B/

先充值信仰

這就使用者亂改設定出包吧比特幣也有這東西 其他幣應該也一樣RPC監聽接受localhost以外的連線都會被用戶端程式警告

這樣要偏利多看 表示有人要？

不要亂條設定不就沒事了

還酸信仰..

不要給我啊

仔細想了一下 不知道這些hacker是怎麼成功的耶Bitcoin官方實作 要跑兩支程式bitcoind (daemon): 就是full node程式 並且提供RPC介面bitcoin-cli (command line interface): 下RPC給daemonBitcoin使用者操作bitcoin-cli來命令bitcoind進行挖礦或是發送交易之類的動作然而bitcoind除了預設只能被本機的bitcoin-cli呼叫bitcoind的設定檔裡面還會指定RPC user/passwordbitcoin-cli對bitcoind下RPC的時候必須附上正確的user/password 才給呼叫也就是說如果不知道bitcoind設定的user/password的話就算hacker從遠端連入bitcoind也是沒辦法下RPC的Ethereum應該也會有這一套認證才對吧不知道hacker是怎麼通過認證的

如果account處於unlock狀態直接call是可以把錢幹走

所以call RPC不用認證嗎？連上RPC port就可以call了哦？

就是因為沒驗證連上就可以，後來版本才做修正

如果client端有開啟設定，hacker連上client的端口，還不需要認證

說不定有遠端溢位

號稱最安全 結果一直出包 笑死