21.06.2016 | 21:25

Adam Haertle

Jak błąd braku walidacji pozwolił na kradzież kilku milionów dolarów

Czasem błędy w kodzie programu sprawiają, że nie da się z niego skorzystać. Czasem jednak ktoś odkrywa błędy, dzięki którym można ukraść spore kwoty. Rzadko jednak słyszymy by trywialny błąd w kodzie miał aż takie skutki.

Weterani zakupów w sieci Tor pewnie kojarzą sklep działający pod nazwą Sheep Marketplace. Ten narkotykowy bazar miał krótką i burzliwą historię a jego właściciel został oskarżony o kradzież pieniędzy użytkowników. Tymczasem okazuje się, że tak naprawdę 5400 BTC wartych wówczas kilka milionów dolarów ukradło dwóch przeciętnych acz pomysłowych informatyków z Florydy. Zapraszamy do lektury tej ciekawej historii.

OPSEC, OPSEC, gdzie jest OPSEC

Sheep Marketplace sprzedawał już od kilku miesięcy spore ilości narkotyków w sieci Tor gdy na Reddicie ktoś postanowił pobawić się w demaskowanie jego założycieli. Internauci dość szybko odkryli, że w kodzie są komentarze po czesku, strona reklamująca serwis w zwykłej sieci (co prawda ukryta za CloudFlare ale bardzo nieudolnie) stoi w czeskiej serwerowni, a do tego powstała kilka miesięcy przed premierą samego sklepu w Torze. Do tego sklep oparty był na czeskim frameworku a serwis ze zwykłej sieci oraz z sieci Tor łączyło wiele wspólnych cech. Te odkrycia miały miejsce w październiku 2013, a już w grudniu sklep wpadł w poważne tarapaty.

Tym razem najpierw wyłączono możliwość wypłat środków, potem wyłączono forum aż w końcu właściciele poinformowali, że okradł ich na 5400 BTC sprzedawca występujący pod pseudonimem EBOOK101. Oczywiście okradzeni użytkownicy nie uwierzyli właścicielom i jeszcze do niedawna wszyscy myśleli, że był to jeden z największych tzw. exit scamów w historii narkotykowych bazarów. Jednocześnie z upadkiem sklepu pojawiły się informacje mówiące, że jego właścicielem jest niejaki Tomáš Jiřikovský. Tomáš był programistą frameworka na którym oparto sklep i zostawił w sieci ślady wpisów na forach, w których szukał pomocy w rozwiązaniu problemów charakterystycznych dla prowadzenia narkotykowego bazaru. Do tego był właścicielem firmy, w której hostowana była witryna reklamująca Sheep Marketplace znajdująca się w zwykłej sieci a jego dziewczyna rysowała zwierzaczki podobne do logo serwisu. Brakowało jednak ostatecznych dowodów.

Zamknięte

Zamknięte

Dom z basenem

W marcu 2015 dowiedzieliśmy się, że czeska policja zatrzymała niejakiego Tomása Jiřikovskýego, oskarżonego o pranie brudnych pieniędzy. Policja zwróciła na niego uwagę po tym jak jego dziewczyna próbowała przelać na swoje konto równowartość ok. 150 tysięcy PLN nie potrafiąc uzasadnić pochodzenia tych środków. Łącznie znaleziono tajemnicze przelewy na kwotę kilku milionów złotych – wszystkie pochodziły z giełdy BTC Bitstamp. Za te pieniądze Tomás kupił m. in. willę z basenem o wartości ponad miliona PLN, którą zarejestrował na swojego dziadka. To jednak nie był jeszcze koniec tej historii.

Willa za bitcoiny

Willa za bitcoiny

Amerykańscy geniusze

Kilka tygodni temu sąd na Florydzie ujawnił dokumenty, z których wynika, że czeski bazar narkotykowy został faktycznie okradziony. Nathan Gibson oraz Sean Mackert którzy w momencie kradzieży mieli odpowiednio 21 oraz 24 lata, okazali się być wystarczająco sprytni by ukraść 5400 BTC, lecz jednocześnie wystarczająco głupi, by wkrótce potem dać się złapać. Nie dość, że nie wyprali skradzionych BTC (agenci FBI prześledzili trasę bitcoinów i po jedynie 24 transakcjach trafili na konto na giełdzie BTC Coinbase), to rabusie nie próbowali nawet ukryć swojego świeżo nabytego majątku. W ciągu 3 miesięcy po włamaniu każdy z nich zdeponował na Coibase bitcoiny warte po ok. 2 miliony dolarów a następnie obaj próbowali przelać po kilkaset tysięcy dolarów na konta w różnych bankach. Każdy bank, który próbowali zasilić taką kwotą, odmawiał przeprowadzenia transakcji. Złodzieje tłumaczyli swoje dochody wyjątkowo udanym kopaniem BTC, jednak banki jeden po drugim zawiadamiały FBI o podejrzanych osobach, które zarabiając kilkadziesiąt tysięcy dolarów rocznie nagle okazywały się dysponować kwotami kilkadziesiąt razy większymi.

Błąd stulecia

Czas już na ostatnią perełkę w tej historii. Jak informuje Nik Cubrilovic, znany badacz obszaru działania narkotykowych bazarów, włamywacze wykorzystali błąd tak trywialny, że aż boli gdy o tym piszemy. Nazwa ich konta – EBOOK101 – nie była wybrana przypadkowo. Uzasadniała ona wiele oferowanych w sklepie towarów. Złodzieje któregoś dnia ustalili każdemu ze sprzedawanych ebooków cenę o ujemnej wartości i wszystkie je wykupili, czyszcząc gorący portfel BTC serwisu. AMEN. A poniżej przykład takiego samego błędu w innym serwisie.

Tak kiedyś pisano sklepy

Tak kiedyś pisano sklepy

Na koniec pozostaje już chyba tylko powiedzieć, że gdyby Tomás Jiřikovský poszedł na nasze szkolenie… ;)

Powrót

Komentarze

  • 2016.06.21 21:43 Michał

    na screenie jest pokazana -1 książka za $-59,99. Czy obliczanie kosztu nie powinno dać (-1)*(-59,99)=59,99? Rozumiem, gdyby albo ilość była ujemna albo cena, ale w tej sytuacji dlaczego wyszło <0 ?

    Odpowiedz
    • 2016.06.21 22:16 Adam

      Użytkownik raczej nie miał możliwości modyfikowania ceny, która wynosiła 59,99. To pierwsze -59,99 pewnie jest pozycją w rachunku a drugie jego podsumowaniem.

      Odpowiedz
    • 2016.06.22 10:51 Krzych

      Ostateczna cena była wyliczana jako liczba_sztuk*cena. Cena była dodatnia i nie można jej było zmienić, a po wpisaniu -1 jako liczba sztuk, otrzymujemy -1*59,99 = -59,99.

      Odpowiedz
  • 2016.06.21 21:51 jan

    Super… Gdyby nie reklama…

    Odpowiedz
    • 2016.06.21 22:41 Jan

      Jak Ci się nie podoba to idź na interie czytać artykuły :D:D nie chcesz reklam? załóż swoja stronę -trać czas na wyszukiwanie informacji, opłacaj serwer, domenę ssl’a – i czytaj takie wpisy jak Twój Januszu :)

      Odpowiedz
    • 2016.06.22 00:29 Filip

      4 zela na miesiac za normalny serwer. Pokaż mi lepszą opcję.

      No właśnie, to jest fajna reklama:P

      Odpowiedz
  • 2016.06.21 22:16 Fdev

    Za takie błędy nawet nie szkoda ludzi (nie licząc tego, że to i tak była „nielegalna” giełda).
    Wręcz to kara za takie implementacje.

    Odpowiedz
    • 2016.06.21 23:34 Michał

      Gorzej, gdy jakaś mniej obeznana osoba zleci wykonanie np. takiego sklepu komuś, kto zostawi taki „kwiatek” i ktoś inny to wykorzysta. Dla kogo to kara? Bo chyba nie dla właściciela sklepu ;)

      Odpowiedz
      • 2016.06.22 02:00 Paweł

        Może jednak dla właściciela, że zlecając stworzenie np. takiego sklepu komuś, zaufał mu na tyle, by nie sprawdzić wszystkiego? Że nie dał tego kilku osobom do sprawdzenia? Może wynajęcie drugiej osoby by sprawdziła wszystko? ( znowu narażenie się na zmiany, że np. ta osoba coś „zostawi swojego”, błędne koło? )

        Odpowiedz
  • 2016.06.22 00:17 Filip

    Nie czepiajcie sie, ze nie umieli wyprac BTC. Sam nie wiem, czy bym wiedzial jak to zrobic.

    Odpowiedz
    • 2016.06.22 07:56 ostrożny

      Wystarczy nie być chciwym i tylko nieznacznie poprawić dochody. Zarabiasz 5k na rękę? Pierz 1.5k miesięcznie, nikt nie zauważy a Ty będziesz żył znacznie lepiej.
      Chciwi żyją lepiej i szybciej, ale krócej – kończą marnie.

      Odpowiedz
  • 2016.06.22 02:13 pir

    QA Engineer walks into a bar.
    Orders a beer.
    Orders 0 beers.
    Orders 999999999 beers.
    Orders a lizard.
    Orders -1 beers.
    Orders a sfdeljknesv.

    Odpowiedz
    • 2016.06.22 12:40 turrysta

      Powinien jeszcze 0.72 piwa, „dwa” (słownie) i SQL Injection piw ;-)

      Swoją drogą, jak próbowałem wpisać najbardziej prostackie sqli to już na CloudFlare przyblokowało.

      Odpowiedz
  • 2016.06.22 13:20 jim

    Widzę znaczne braki w sposobie prowadzenia z3s od jakiegoś tygodnia i poważnie mnie to martwi;

    1. Nie dołączyliście mema

    http://ic.pics.livejournal.com/katrina_fly/40989584/11696/original.jpg

    2. Pierwszy raz od dawna odpuściliście WEEKENDOWĄ LEKTURĘ !!!

    Odpowiedz
    • 2016.06.23 12:33 weekendowa_fan

      Fakt, pozostaje wierzyć, że jutro Weekendowa powróci w chwale.

      Odpowiedz
  • 2016.08.04 12:02 roland

    Cytat „agenci FBI prześledzili trasę bitcoinów i po jedynie 24 transakcjach trafili na konto na giełdzie BTC Coinbase” – rąbneli BTC z giełdy w TOR’ze i nie wykonywali transakcji w TOR’ze? Jak inaczej można prześledzić transakcje wysyłane między bitcoinowymi portfelami?

    Odpowiedz
    • 2016.08.04 14:45 Adam

      Jaki Tor, po prostu przelewy z portfela do portfela śledzili, portfel A -> portfel B -> portfel C itd aż do sprawcy.

      Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak błąd braku walidacji pozwolił na kradzież kilku milionów dolarów

Komentarze