Jakby ostatnie miesiące przyniosły mało emocji użytkownikom bitcoinów, dzisiaj rano największa polska giełda, Bitcurex, napotkała niecodzienne problemy. Ktoś wystawił nierealistyczne oferty zakupu, a krótko potem giełda została zamknięta.
Dzisiaj rano kurs BTC na największej polskiej giełdzie oszalał. Krótko po 9:30 ktoś zaczął wystawiać zlecenia zakupu BTC po coraz wyższych cenach, doprowadzając kurs podobno do 50 000 5000 PLN za 1 BTC (a rzekomo nawet i do 200 000 20 000). Byli również ryzykanci, którzy korzystali z takiej propozycji. Krótko potem, ok. 9:40 strona giełdy przestała reagować.
Łączna wartość wystawionych ofert zakupu wyniosła prawie 100 milionów złotych. Spowodowało to wykonanie większości oczekujących ofert sprzedaży, generując nagły skok obrotów.
Wygląda to tak, jakby komuś udało się uzyskać możliwość manipulowania saldem PLN, lecz bez możliwości manipulacji saldem BTC. Teoretycznie włamywacz mógł zatem podnieść saldo swojego rachunku i następnie wykorzystując je, zakupić wszystkie wystawione BTC i przetransferować je poza giełdę. Nie wiemy, czy plany te wypaliły, czekamy na kolejne informacje. Posiadaczom środków w serwisie pozostaje mieć nadzieję, że administratorzy zareagowali wystarczająco szybko, by zablokować transfery wychodzące. Należy tez pokładać nadzieję w tym, ze większość środków była w zimnych portfelach.
Aktualizacja 10:15 W wątku na forum bitcoin.pl pojawiają się informacje o tym, że użytkownicy otrzymali od serwisu wiadomości email o zmianie salda rachunku, chociaż nie dokonywali operacji. Niektórzy informują także, że mogły zostać podmienione adresy do wpłat BTC.
Aktualizacja 10:30 Na Bitcoinity ładnie widać nagły skok kursu oraz obrotów (skala po prawej to cena BTC w tysiącach PLN)
Aktualizacja 10:40 Bitcurex opublikował zdawkowy komunikat, wskazujący, że wyłączenie giełdy było celowym zabiegiem i obecnie trwa analiza sytuacji.
Aktualizacja 11:00 Dopiero teraz wyłączony został bliźniaczy serwis, eur.bitcurex.com.
Aktualizacja 11:05 Z kolei anglojęzyczny komunikat mówi o „błędzie”…
Aktualizacja 11:20 Niebezpiecznik opublikował log transakcji pobrany z API Bitcurexa. Wskazuje on na rozpoczęcie nietypowych transakcji o godzinie 9:14 oraz zamknięcie giełdy o 9:38.
Aktualizacja 12:20 Taka ciekawostka – Bitcurex nie pozwałał na używanie dłuższych haseł niż 25 znaków
Aktualizacja 16:45 Bitcurex informuje, że środki użytkowników są bezpieczne. Z kolei użytkownik big_digger na forum.bitcoin.pl informuje, że w czerwcu 2013 otrzymał niespodziewany przelew na swój rachunek PLN w Bitcureksie na kwotę 99 999 999 PLN. Czyżby ktoś znowu dostał podobny „prezent” i postanowił z niego skorzystać?
Aktualizacja 18:15 W sieci pojawił się wpis, w którym jeden z użytkowników informuje, że tydzień temu dzięki błędowi serwisu mógł, posiadając y PLN, złożyć x identycznych ofert na zakup BTC, każdą za y PLN i wszystkie x ofert mogło zostać zrealizowane.
Aktualizacja 18:20 Na forum ToRepublic użytkownik [email protected] zamieścił ofertę sprzedaży bazy danych Bitcurexa. Jak na razie nie ma żadnych dowodów na to, ze taka baza faktycznie wyciekła.
Aktualizacja 18:30 Bitcurex potwierdza, ze było włamanie i część środków udało się włamywaczowi ukraść, jednak zadziałały mechanizmy bezpieczeństwa, ograniczające straty.
Aktualizacja 22:00 Na forum.bitcoin.pl pojawiają się ciekawe wpisy. Niektóre sugerują, że do włamania doszło już miesiąc temu, inne wskazują, ze błądu typu „podwójne wydawanie tej samej kwoty” istniał co najmniej od listopada.
Komentarze
Macie błąd w tekście.
Nie „50 000 PLN za 1 BTC (a podobno nawet i do 200 000)”
tylko „5000 PLN i nawet 20 000”
Pzdr
śledzicie mój blog <3
zwróćcie uwagę na status ticketu, odpisali mi po miesiącu i zamknęli ticket :D
// tak pisownia w emailu oryginalna, ale już mnie nie obchodziło sprawdzanie tego co im piszę ;)
Pełna profesja.
Bo 25 znaków wystarczy…
a dopiero w wywiadzie dla InfoCoin niedawno mówili, jacy to oni nie są pozabezpieczani :) no cuż, może czas na nowe standarty
Heh, dlatego ja trzymam btc w SWOIM portfelu po ostatnich rewelacjach z mtgoxem :)
Pewnie nvm znowu sobie żartuje :D
NVM się nadał do robienia słabo brzmiących bitów pod swoje smutne piosenki, a nie do włamania tutaj :)
Jeśli prezes dalej koduje to niema się co dziwić…
Google zgłasza, że strona jest niebezpieczna… Czyżby podmianka strony już była?
Ale która strona?
Bitcurex działa. Nikt nic nie stracił. Po „aferze”
dlaczego?