La popularidad de Coinhive explotó gracias a la decisión que tomó The Pirate Bay de activar un minero en segundo plano. Cientos de portales decidieron seguir el mismo camino, ya sea de forma legítima o cubriendo por completo sus intenciones. Sin embargo, los responsables del servicio han aprendido por las malas que necesitan reforzar su seguridad. Un atacante logró ingresar al proveedor de DNS de Coinhive usando una vieja contraseña que jamás se cambió, y redirigió hashes a un servidor privado durante un período de seis horas. No se sabe cuánto dinero robó.
La adopción de servicios en línea tiene sus riesgos. Un error de seguridad por parte de sus administradores, y en la Web aparecen millones de contraseñas filtradas. Uno de los ejemplos más recientes y contundentes es el ataque a Yahoo!. Todas las cuentas del proveedor fueron comprometidas, y lo peor es que los usuarios se enteraron varios años después del hecho. Básicamente no hay servicio que esté a salvo, y eso incluye a la nueva generación de mineros JavaScript. La víctima de turno es Coinhive, escogido por portales como The Pirate Bay para obtener Monero.
En la noche del 23 de octubre, los responsables de Coinhive detectaron un ingreso no autorizado a la cuenta de su proveedor de DNS, CloudFlare. El atacante manipuló los registros del dominio coinhive.com, con el objetivo de redirigir todas las solicitudes de «coinhive.min.js» a un servidor externo. Dicho servidor guardaba una versión maliciosa del archivo JavaScript que en esencia habilitó el robo de hashes durante un período de seis horas. ¿Cómo entró ese hacker a Cloudflare? Muy sencillo: Los administradores de Coinhive reutilizaron las mismas credenciales que se filtraron en el ataque a Kickstarter un par de años atrás. Las contraseñas de esa filtración estaban cifradas, por lo tanto, la hipótesis apunta a una contraseña particularmente débil, y vulnerable a un proceso de fuerza bruta.
Coinhive insiste en que no se robó información personal, y el siguiente paso es implementar un sistema de compensación para los usuarios afectados, emitiendo un crédito de 12 horas basado en el promedio de su hashrate diario. Tal vez sea suficiente, pero ya no quedan dudas: Los mineros online son un blanco.