BTC warte 280 mln PLN skradzione z giełdy Bitfinex na skutek włamania
(źródło: btckeychain)
Wczoraj wieczorem z jednej z większych giełd kleptowalut skradziono bitcoiny warte ponad ćwierć miliarda złotych. Giełda jest obecnie zamknięta a internauci zastanawiają się, czy dobrym pomysłem było pozbycie się tzw. zimnego portfela.
Historia kradzieży BTC jest długa i obfituje w bardzo ciekawe przypadki, lecz ten bez wątpienia znajdzie się wśród najbardziej interesujących – przynajmniej ze względu na skalę. Według dostępnych informacji w ręce złodziei trafiło 119 756 BTC. Jeśli pamięć nas nie zawodzi, to największa jednorazowa do tej pory udokumentowana kradzież BTC w historii tej waluty (nie wiemy, czy większym przekrętem nie był MtGox, lecz brak szczegółowych informacji).
Duży może więcej
Jeśli wierzyć serwisowi Bitcoinity, Bitfinex był w ostatnich dniach największą pod względem obrotów giełdą nie obsługującą chińskiej waluty. Co prawda jej udział w globalnym rynku wynosił jedynie ok. 1-2%, lecz ciągle było to 40 000 BTC obrotu w ciągu doby. Na razie nie wiemy, na czym polegało włamanie, jednak komunikat na stronie serwisu wskazuje, że z kont niektórych klientów zniknęły ich środki. Giełda całkowicie zawiesiła działalność do czasu wyjaśnienia sytuacji i rozliczenia strat.
Bifinex ostatni raz był zhakowany nieco ponad rok temu – wtedy stracił „jedynie” 1400 BTC. Jak jednak mogło dojść do kradzieży tak wielkiej sumy naraz? Co z „zimnym portfelem”, czyli środkami przechowywanymi na komputerze lub nośniku bez dostępu do internetu?
Po co nam zimny portfel, mamy multisiga
Zimny portfel długo uznawany był za standard w zabezpieczeniu kryptowaluty. Internetowi włamywacze nie mogą ukraść kluczy z komputera nie podłączonego do sieci (oczywiście jeśli ktoś im pomoże to jest to wykonalne, jednak mało prawdopodobne). Potem pojawiła się jednak nowa technologia, zwana multisig – czyli konieczność użycia N z X kluczy do uruchomienia przelewu. Z multisiga dostarczanego przez firmę BitGO korzystał Bitfinex. Spójrzmy na stronę BitGo:
Ze strony BitGo
Do uruchomienia przelewu z kont klientów Bitfinex konieczne było zatem użycie 2 z 3 kluczy – jeden znajdował się na nośniku odłączonym od sieci będącym we władaniu giełdy (wg jej oświadczenia nie został skradziony), jeden na serwerach giełdy (do inicjowania transakcji) i jeden na serwerach BitGo (autoryzujący wyłącznie transakcje zgodne z ustalonymi limitami kwotowymi i czasowymi). Nie wiemy w jaki sposób przestępcy uzyskali dostęp do obu kluczy – czy włamano się do obu instytucji, czy też np. nadużyto dostępu którym dysponował Bitfinex do API BitGo. Samo BitGo twierdzi, że nie odnotowało żadnego włamania po swojej stronie:
As we directly notified our customers earlier today, our investigation has found no evidence of a breach to any BitGo servers.
— BitGo (@BitGo) August 2, 2016
Co ciekawe kradzież dobrze widać na wykresie pokazującym jaki procent BTC trzymany jest w adresach multisig:
Źródło: steemit.com
Wiemy, że nie pomogło dwuskładnikowe uwierzytelnienie dla klientów ani nie pomogły limity transferów wymuszane teoretycznie przez BitGo. Patrząc na skradziona kwotę można sądzić, że zniknęło wszystko co było do wzięcia. Rynek zareagował dość szybko – wartość BTC spadła nawet o 20% (z 607 dolarów do ok. 480), obecnie odbija się od dołka.
Kurs BTC
Niestety to zapewne nie ostatnia historia, w której występuje zespół kilku programistów piszących platformę do obracania milionami dolarów oraz zespół profesjonalnych włamywaczy który udowadnia, że platforma wcale nie była bezpieczna. Na koniec tradycyjny komentarz.
Jedyny komentarz
Podobne wpisy
- Historia kryminalna łącząca BTC, monero, Dasha, NordVPN-a, Tora i pasted.co
- Poważny błąd Onetu pozwalał pobrać pocztę i dane użytkowników
- Jak Prokuratura Okręgowa nieudolnie próbowała anonimizować dowody w sprawie Sławomira N.
- Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com
- Jak można było pobrać bazę użytkowników serwisu Albicla.com
Najprawdopodobniej jest to luka w mechanizmach autoryzacji transakcji. Inna opcja raczej nie gra roli, zwłaszcza, że ominięto wszystkie zabezpieczenia np. limity wypłat.
spadek kursu z 2600 na 2100 zł mocno dało się odczuć. tak długo jak będa spieniężać te skradzione BTC tak kurs będzie leciał w dół, a już taka stabilizacja wokół 2500 zł się robiła :(
Smutna historia, co nie zmienia faktu, że z zaciekawieniem przeczytałbym jak do kradzieży doszło pomimo multisig i limitów – ale wszystko chyba wskazuje na błąd w implementacji API po stronie BitGo. Albo kłamią lub co gorsza są nieświadomi włamu do swojej infrastruktury pomimo sprawdzenia tego faktu.
nie sądzę, aby ktoś spieniężał te środki na raz, przecież to byłby idiotyzm. tak samo jak nie odczułeś w późniejszym okresie kradzieży z marketu w deep webie
Dobry czas na kupno BTC.
Tak, i na wejście z nimi na giełdę.
Może mnie ktoś oświecić (może Adam) dlaczego niektórzy ludzie trzymają swoje bitcoiny nie w swoim portfelu tylko w portfelu online? Rozumiem gdyby to była mała ilość, ale tyle? Ja mam ich niewiele, więc nie boję się ich trzymać na komputerze online, ale gdybym miał ich więcej leżały by w zimnym portfelu, ale fizycznie u mnie.
Podstawowe powody to to że ludzie używają tej waluty i nią handlują.
Po drugie wierzą w jej bezpieczeństwo.
A po trzecie nie czarujmy się ze wiele z tej waluty służy do ukrywania kasy. Więc trzymanie jej „w kieszeni” odpada.
Tak podejrzewałem, że chodzi o szybkie spekulacje na zmiennym kursie. Mnie akurat 20% spadek ucieszył – kupiłem nie aby ukryć, a dlatego, że bardziej ufam matematyce i kryptografii niż rządom i mechanizmowi kreacji pieniądza fiducjarnego przez banki.
Ufaj sobie komu i czemu chcesz, bo siła waluty jest tak duża, jak pokładane w niej zaufanie, a nie jakieś naukowe „bajdurzenie o liczbach”. Zatem ufać należy temu, w co ufa więcej ludzi. Póki co więcej ludzi ufa „banksterom”, dolarowi i złotu.
chyba nie zrozumiałeś Krzysiu pytania, on nie pytał o to, po co im BTC a czemu trzymali je na giełdzie. Może dlatego, że jesteś głupiutki to nie rozumiesz idei BTC i gadasz o ukrywaniu.
@Okrop, ponieważ to jest giełda, a na giełdzie się handluje, więc po co mają wpłacać i wypłacać co chwilę $?
Dokładnie z tego samego powodu, dla którego kupują metale szlachetne i trzymają je w skarbcach w Anglii albo Szwajcarii.
Chyba w reklamówce z Biedronki wywieszonej na balkonie na parterze :)
…..Prawda ………
Trzymaja na portfelu online z blachych powodow wedlug mnie – wygoda glownie, nie trzeba czegos tam instalowac na danym OS, potem nie trzeba sciagac jak to nazywam 'shit-chainow’ w danym portfelu, na dzien dzisiejszy dla podstawowego portfela bitcoina (core pod windowsa) potrzeba ok 80 gb mniejsca na dysku . Malo tego jezeli ktos chce przystapic do zabawy w btc dzis to musi zsynchronizowac wszystkie bloki od poczatku ery btc co moze zajac przy srednio jakosciowym necie w tej chwili ok kilku dni pracy kompa przez 24 h, a nawet ponad tygydnia w drastycznych przypadkach. Powoli pojawiaja sie portfele sprzetowe jak Trezor, jak i tzw „light” wallety ktore nie potrzebuja sciagania calej bazy danych blokow tylko operuja na jakiejs tam ostatniej czesci z nich a reszta siedzi sobie na globalnym serwerze. Generalnie dlaczego do tychczas nikt nie wpadl na pomysl napisania portfela ktory caly „shit-chain” bedzie trzymac i aktualizowac na serwerze a najwazniejszy plik portfela czyli wallet.dat bedzie na komputerze klienta – tego nie rozumiem.
Ten przypadek powinien dać jasno do zrozumienia dlaczego trzymanie czegokolwiek na serwerze jest mniej bezpieczne niż lokalnie. Jeśli udało by się zmanipulować historię bitcoinów można wpłynąć na ich aktualny rozkład. bezpieczeństwo polega właśnie na tym ze za dużo ludzi ma te 80GB na dyskach i nie ma jak ich uszkodzić w skali globalnej.
Gdyby BTC stało się popularne powszechnie, czyli stosowalne na codzień, to z tych 80 GB szybko zrobi się 8 TB. Czyli nikt nie będzie trzymał portfeli u siebie. Konkurencja wykosi mniejsze „giełdy” i kantory, zostaną duże. Te duże, to właśnie będą BTC-owe banki.
Wyobraźcie sobie teraz, że na kontynencie działaj 4 dużych operatorów BTC, reszta się sprzedała, padła, została okradzona, sama zrobiła frauda. Co broni jednemu z nich zrobić forka? Nic. Co ich powstrzyma przed zablokowaniem wypłat środków klientów na „rachunki” poza ich systemem? Nic.
Taki operator będzie BTC-owym paypalem – możesz sobie trzymać portfel w domu (posiadając cluster do aktualizacji shitchaina), ale z takiego portela nie zapłacisz. Bo sklep nie będzie operował na portfelu BTC, tylko wyoutsource’uje płatności do operatora BTC.
Wierzcie sobie dalej w kryptowaluty, pomijając całą resztę – silny zawsze może więcej, a silny zawsze się wyłoni z tłumu.
Bzdura. Myślisz że zrobienie forka nie ma wpływu na dochody takiego banku BTC? Przecież to straty setek milionów dolarów. Naprawdę, gdzie ty żyjesz. Wiarygodność banku to jego główny kapitał.
@mrarm – tak tak, wiarygodność giełd bitcoinowych to także ich główny kapitał. Nie licząc kapitału zgromadzonego w portfelach klientów, które można zajumać i ogłosić światu, że nastąpił włam, więc wicie-rozumicie, ale nie mamy wam z czego oddać, także no ten tego, sorka.
W przypadku forka to nie taki BTCbank będzie miał problem, ale jego klienci. „Zacznijcie korzystać z naszej linii, albo żegnajcie się ze zgromadzonymi środkami” = „nie mamy pana płaszcza i co nam pan zrobi”.
Doprawdy, zastanawiam się – skąd się biorą tacy frajerzy, gotowi do dyskusji o tym, że ktoś ich NA PEWNO nie wydyma, bo mu się to nie opłaci. To tak jak ten brytyjski frajer, który przed 1945 „przywiózł im pokój”.
No i żeby daleko nie szukać, proszę bardzo, chińska ViaBTC:
„W ciągu kilku miesięcy jej moc osiągnęła około 10% mocy sieci BTC. […] Kopalnia ViaBTC w obszernym wpisie na blogu jasno wyłożyła swój punkt widzenia: nie dla segregated witness, wsparcie dla Bitcoin Unlimited.”
Można? Można. Nie mają twojego płaszcza i co im zrobisz?
Genialne są te waluty wirtualne :D
To prawda, rząd nie może ich ukraść tak jak się to stało np. na Cyprze. A jeśli ktoś zaufał nieodpowiednim osobom, to współczuję i liczę na to, że następnym razem będzie ostrożniejszy.
Nie może rząd, za to może byle giełda, kantor czy dowolny inny operator BTC, albo ktoś, kto się do nich włamuje.
Rząd nie może także ochronić przed kradzieżą (idź na policję, że straciłeś BTC), nie może dać gwarancji bankowych.
Ale najlepsze jest coś zupełnie innego – nikt nie może dać kredytu z wykreowanego długu. Gospodarka oparta o BTC to gospodarka XVII-wiecznego tempa rozwoju.
Nie ma nic złego w niższym tempie rozwoju, mniejsza inflacja, stabilniejsze życie w perspektywie pokoleń. Większy problemem jest to że bitcoin to piramida, w momencie gdy zostanie wykopany ostatni coin poleci na łeb.
Dlaczego??? Stanie się raczej coś odwrotnego. Poza tym czy to wogóle jest możliwe?
Kolejny przekonany że 'rozwój’ gospodarczy to najlepsza rzecz na świecie.
Chyba nie uwzględniłeś paru kosztów zewnętrznych, które będą gwoździem do trumny ludzkości, chyba że się ockniemy.
Mówię o zanieczyszczeniu środowiska, to jest jeden z kosztów niezahamowanego postępu.
Inny to rosnące nierówności społeczne. Co prawda akurat tu jestem zdania, że sumarycznie biedni jednak nie biednieją, tylko się też bogacą, ale tak czy tak – wolniej się bogacą niż bogaci.
Jesteś po prostu krótkowzroczny i ubóstwiasz gospodarkę opartą na niesprawiedliwosci.
„Kolejny przekonany że ‚rozwój’ gospodarczy to najlepsza rzecz na świecie.”
Nie jest istotne, czy najlepsza, istotne że jest tak działa wszechświat. Cały – ewoluuje. Zatem rozwój, w obecnych czasach gospodarczy, to naturalna kolej rzeczy.
„Chyba nie uwzględniłeś paru kosztów zewnętrznych, które będą gwoździem do trumny ludzkości, chyba że się ockniemy.”
Chyba masz 15 lat, bo inaczej powinieneś pamiętać, jak wyglądała Polska kilka lat rozwoju temu. Ja z dzieciństwa pamiętam żółte kałuże i osad z ołowiem, który wydrapywało się spod denek słoików ogórków.
„Mówię o zanieczyszczeniu środowiska, to jest jeden z kosztów niezahamowanego postępu.”
Bzdura – to jest koszt zbyt wolnego postępu. Czy „smog”, czyli „smoky fog”, jest dzisiaj większym problemem w Londynie czy Chinach?
A wiesz, jaki problem miały miasta przez upowszechnieniem silnika? Kilka:
1. kupy gnoju (dosłownie), którego nie nadążali wywozić,
2. hałas końskich kopyt,
3. ofiary stratowane przez konie na drogach.
Nie wspomnę tu o rozwoju medycyny, bo to jest oczywiste.
„Inny to rosnące nierówności społeczne.”
No bo taki pańszczyźniany chłop to miał raj na ziemii. Każdy niewolnik miał płatne urlopy, wakacje pod gruszą, prywatną opiekę medyczną i multisporta.
Nierówności rosną, bo po okresie zdrowego kapitalizmu wprowadzono neoliberalizm. Na szczęście już się z niego leczymy.
I teraz pytanie – chcesz się z tej patologii wyleczyć szybciej, czy może wolniej?
„Jesteś po prostu krótkowzroczny i ubóstwiasz gospodarkę opartą na niesprawiedliwosci.”
Wręcz przeciwnie – oczekuję zmian gospodarczo-społecznych na tyle szybkich, żebyśmy z obecnego bagna wyszli jeszcze za mojego życia.
Ty za to wolisz status quo, że się tempem rozwoju nie przejmujesz. Gdyby tak myśleli twoi dziadowie, to byś rano poszedł do kur jajka macać. Skoro świt, bo teraz ciemno, a doprowadzenia elektryczności by nikt nie sfinansował.
Tez nie rozumiem fenomenu tego calego bitcoina. PRzeciez ta waluta jest tylko po to, zeby dymac naiwnych. Cos jak forex.
To se nie rozum, co nakupowałem za btc to moje.
Cold Walleta nie mogli mieć bo taka była licencja wymuszona na nich przez rząd stanów zjednoczonych mówiąca że giełda nie może trzymać środków w miejscu gdzie dostęp ma tylko giełda.
http://i.imgur.com/O46UNix.png
Ten niedobry rząd USA, nawet do działania giełdy w Hongkongu się wtrąca!
Niedobry rząd USA niestety się wtrąca w innym wypadku BitFinex by musiał odsyłać wszelkie środki napływające z USA oraz nie mógłby mieć konta w amerykańskim banku na które obywatele USA przelwają środki. Zamknąłbyś się na tak duży rynek ? Nie wszystkie giełdy mają licencję USA i mogą z USA otrzymywać środki. Soryy taka jest niestety polityka „demokratycznych” komunistycznie USA :).
Jak nie wiesz jak to działa i jaki jest problem z USAńskim rynkiem finansowym to się nie wypowiadaj. BTC-E ciągle działa ale bezpośrednio z banku żaden obywatel USA nie przeleje do nich pieniędzy.
„Kleptowalut”? to zart czy chochlik?
polecam słownik, obie formy są poprawne
konwencja
Czy nie istnieje techniczna możliwość „deaktywacji” skradzionych BTC? Na jakie problemy możnaby natrafić przy realizacji takiego scenariusza? Czy wprowadzenie np. 6h opcjonalnego oczekiwania na potwierdzenie, że realizowana transakcja nie ma związku z kradzieżą miałoby krytycznie negatywny wpływ na BTC?
Wchodzisz do sklepu, płacisz, 6 godzin później kasjerka mówi „no faktycznie, proszę wziąć bułki” :)
Slowo klucz – kolorowanie bitcoinow
A jak Ci powiem że nie okradli ludzi a okradli giełdę ? A jak Ci powiem że jak okradną Bank to okradają Bank a nie ludzi ? A jak Ci powiem że przelewając BTC na finex powierzyłeś im swoje BTC?
Oj ludzie wy naprawde wierzycie ze bylo wlamanie ? Wlasciciel gieldy zmyl sie z kasą i zamknal giełdę
czesc wszystkim
Giełda kleptowalut ;)