Nie pomógł multisig – 2 miliony dolarów w kryptowalutach skradzione

dodał 17 maja 2016 o 21:40 w kategorii Włamania  z tagami:
Nie pomógł multisig – 2 miliony dolarów w kryptowalutach skradzione

(źródło: btckeychain)

Jeśli ktokolwiek prowadzi giełdę kryptowalut, to zapewne jest już dzisiaj świadomy związanych z tym zagrożeń. Niestety włamywacze nie cofają się przed samą świadomością właścicieli giełd, którzy nie potrafili zbudować skutecznego systemu zabezpieczeń.

Licznik z napisem „Liczba dni od ostatniej kradzieży kryptowalut o wartości powyżej miliona dolarów” można znowu zresetować. Tym razem padło na firmę Gatecoin. To giełda BTC z Hongkongu, która chwaliła się solidnie zaimplementowaną architekturą zapewniającą bezpieczeństwo depozytów. Jako jeden z pierwszych serwisów tego typu obsługiwała indywidualne konta walutowe (dolary czy euro należące do klientów znajdowały się na osobnych, indywidualnych kontach dla każdego klienta). Ponad to zimne portfele przechowujące BTC oraz ETH działały w technologii multisig, czyli wymagały kilku podpisów dla przelania środków na inny rachunek. W jaki zatem sposób włamywacze ukradli 15% wszystkich środków firmy, czyli ok. 260 bitcoinów i 185 000 ethereum?

Długi ciąg porażek

W wyjaśnieniu tej zagadki nieco pomaga oświadczenie firmy. Dowiadujemy się z niego, że włamanie do serwerów miało miejsce co najmniej 9 maja, kiedy to zaobserwowano restart serwera. Nie wiadomo, co spowodowało restart, ale firma podejrzewa silny związek z incydentem (szkoda że nie podejrzewała go zanim straciła środki). 13 maja z kont firmy zniknęły spore kwoty, powodując natychmiastowe zawieszenie działalności. Złodziej dobrał się do środków znacznie przekraczających zwyczajową zawartość gorącego portfela. Firma informuje, że jej system został tak zmodyfikowany, by wpłaty klientów nie lądowały w dobrze zabezpieczonym zimnym portfelu, a przesyłane były do portfela gorącego. Złodziej czekał zatem 4 dni aż uzbiera się solidna suma i wtedy wyczyścił portfel gorący.

Komunikat Gatecoin

Komunikat Gatecoin

Ta dobrze zabezpieczona giełda kryptowalut nie zauważyła, że przez 4 dni włamywacz buszował w jej systemach. Nie pomógł nawet restart serwera. Przez 4 dni nikt nie zauważył, że depozyty nie lądują w zimnym portfelu. Przez 4 dni nikt nie zauważył, że puchnie portfel gorący. Trudno to podsumować inaczej jak „każdy dostaje to, co na co zasłużył”.

Podsumowanie

Powyższy przykład świetnie pokazuje, że nie wystarczy sama świadomość zagrożenia. Każdy organizator giełdy kleptowaluty musi przecież być świadom skali zagrożeń – kategoria BTC w naszym serwisie pełna jest przerażających historii, gdzie miliony dolarów opuszczały swoich dotychczasowych właścicieli i znikały w czeluściach internetu. Właściciele Gatecoin (którym bardzo współczujemy) pewnie postawili bezpieczeństwo na pierwszym miejscu – lecz w dzisiejszych czasach nie wystarczy wiedzieć, że dane zagadnienie jest ważne – trzeba jeszcze wiedzieć, jak zbudować system zabezpieczeń, by był skuteczny. Giełdzie Gatecoin to się nie udało.