BTC warte 280 mln PLN skradzione z giełdy Bitfinex na skutek włamania

dodał 3 sierpnia 2016 o 08:24 w kategorii Włamania  z tagami:
BTC warte 280 mln PLN skradzione z giełdy Bitfinex na skutek włamania

(źródło: btckeychain)

Wczoraj wieczorem z jednej z większych giełd kleptowalut skradziono bitcoiny warte ponad ćwierć miliarda złotych. Giełda jest obecnie zamknięta a internauci zastanawiają się, czy dobrym pomysłem było pozbycie się tzw. zimnego portfela.

Historia kradzieży BTC jest długa i obfituje w bardzo ciekawe przypadki, lecz ten bez wątpienia znajdzie się wśród najbardziej interesujących – przynajmniej ze względu na skalę. Według dostępnych informacji w ręce złodziei trafiło 119 756 BTC. Jeśli pamięć nas nie zawodzi, to największa jednorazowa do tej pory udokumentowana kradzież BTC w historii tej waluty (nie wiemy, czy większym przekrętem nie był MtGox, lecz brak szczegółowych informacji).

Duży może więcej

Jeśli wierzyć serwisowi Bitcoinity, Bitfinex był w ostatnich dniach największą pod względem obrotów giełdą nie obsługującą chińskiej waluty. Co prawda jej udział w globalnym rynku wynosił jedynie ok. 1-2%, lecz ciągle było to 40 000 BTC obrotu w ciągu doby. Na razie nie wiemy, na czym polegało włamanie, jednak komunikat na stronie serwisu wskazuje, że z kont niektórych klientów zniknęły ich środki. Giełda całkowicie zawiesiła działalność do czasu wyjaśnienia sytuacji i rozliczenia strat.bitfinex

Bifinex ostatni raz był zhakowany nieco ponad rok temu – wtedy stracił „jedynie” 1400 BTC. Jak jednak mogło dojść do kradzieży tak wielkiej sumy naraz? Co z „zimnym portfelem”, czyli środkami przechowywanymi na komputerze lub nośniku bez dostępu do internetu?

Po co nam zimny portfel, mamy multisiga

Zimny portfel długo uznawany był za standard w zabezpieczeniu kryptowaluty. Internetowi włamywacze nie mogą ukraść kluczy z komputera nie podłączonego do sieci (oczywiście jeśli ktoś im pomoże to jest to wykonalne, jednak mało prawdopodobne). Potem pojawiła się jednak nowa technologia, zwana multisig – czyli konieczność użycia N z X kluczy do uruchomienia przelewu. Z multisiga dostarczanego przez firmę BitGO korzystał Bitfinex. Spójrzmy na stronę BitGo:

Ze strony BitGo

Ze strony BitGo

Do uruchomienia przelewu z kont klientów Bitfinex konieczne było zatem użycie 2 z 3 kluczy – jeden znajdował się na nośniku odłączonym od sieci będącym we władaniu giełdy (wg jej oświadczenia nie został skradziony), jeden na serwerach giełdy (do inicjowania transakcji) i jeden na serwerach BitGo (autoryzujący wyłącznie transakcje zgodne z ustalonymi limitami kwotowymi i czasowymi). Nie wiemy w jaki sposób przestępcy uzyskali dostęp do obu kluczy – czy włamano się do obu instytucji, czy też np. nadużyto dostępu którym dysponował Bitfinex do API BitGo. Samo BitGo twierdzi, że nie odnotowało żadnego włamania po swojej stronie:

Co ciekawe kradzież dobrze widać na wykresie pokazującym jaki procent BTC trzymany jest w adresach multisig:

Źródło: steemit.com

Źródło: steemit.com

Wiemy, że nie pomogło dwuskładnikowe uwierzytelnienie dla klientów ani nie pomogły limity transferów wymuszane teoretycznie przez BitGo. Patrząc na skradziona kwotę można sądzić, że zniknęło wszystko co było do wzięcia. Rynek zareagował dość szybko – wartość BTC spadła nawet o 20% (z 607 dolarów do ok. 480), obecnie odbija się od dołka.

Kurs BTC

Kurs BTC

Niestety to zapewne nie ostatnia historia, w której występuje zespół kilku programistów piszących platformę do obracania milionami dolarów oraz zespół profesjonalnych włamywaczy który udowadnia, że platforma wcale nie była bezpieczna. Na koniec tradycyjny komentarz.

Jedyny komentarz

Jedyny komentarz