推 JustSong: 先充值信仰 06/14 13:15
推 kugwa: 這就使用者亂改設定出包吧 06/14 13:29
→ kugwa: 比特幣也有這東西 其他幣應該也一樣 06/14 13:29
→ kugwa: RPC監聽接受localhost以外的連線都會被用戶端程式警告 06/14 13:31
推 SCDAN: 這樣要偏利多看 表示有人要? 06/14 13:53
推 EthereumPTT: 不要亂條設定不就沒事了 06/14 13:54
推 jixian: 還酸信仰.. 06/14 14:29
推 BlackBass: 不要給我啊 06/14 14:42
推 kugwa: 仔細想了一下 不知道這些hacker是怎麼成功的耶 06/14 15:06
推 kugwa: Bitcoin官方實作 要跑兩支程式 06/14 15:10
→ kugwa: bitcoind (daemon): 就是full node程式 並且提供RPC介面 06/14 15:11
→ kugwa: bitcoin-cli (command line interface): 下RPC給daemon 06/14 15:11
→ kugwa: Bitcoin使用者操作bitcoin-cli來命令bitcoind進行挖礦或是 06/14 15:14
→ kugwa: 發送交易之類的動作 06/14 15:14
→ kugwa: 然而bitcoind除了預設只能被本機的bitcoin-cli呼叫 06/14 15:15
→ kugwa: bitcoind的設定檔裡面還會指定RPC user/password 06/14 15:16
→ kugwa: bitcoin-cli對bitcoind下RPC的時候必須附上正確的user/pass 06/14 15:17
→ kugwa: word 才給呼叫 06/14 15:17
→ kugwa: 也就是說如果不知道bitcoind設定的user/password的話 06/14 15:18
→ kugwa: 就算hacker從遠端連入bitcoind也是沒辦法下RPC的 06/14 15:19
→ kugwa: Ethereum應該也會有這一套認證才對吧 06/14 15:19
→ kugwa: 不知道hacker是怎麼通過認證的 06/14 15:20
推 holise71: 如果account處於unlock狀態直接call是可以把錢幹走 06/14 15:25
推 kugwa: 所以call RPC不用認證嗎?連上RPC port就可以call了哦? 06/14 15:28
推 ReanoX: 就是因為沒驗證連上就可以,後來版本才做修正 06/14 18:47
推 doranako: 如果client端有開啟設定,hacker連上client的端口,還 06/15 09:27
→ doranako: 不需要認證 06/15 09:27
推 bab7171: 說不定有遠端溢位 06/16 10:13
→ jatj: 號稱最安全 結果一直出包 笑死 06/17 10:01