Tajemnicze włamanie do MtGox, czyli jak wartość bitcoinów spadła do zera

Wczorajsze zniknięcie giełdy  MtGox było tylko jednym z wielu dziwnych wydarzeń w jej historii. Jeden z najciekawszych incydentów miał miejsce w czerwcu 2011 roku, kiedy na skutek włamania kurs BTC spadł z 17 dolarów do jednego centa.

Zaledwie niecałe trzy lata temu miało miejsce jedno z najdziwniejszych wydarzeń w historii kryptowalut. W ciągu 45 minut kurs bitcoina został zbity praktycznie do zera. W jaki sposób do tego doszło? Po co ktoś miałby aż tak manipulować kursem? Specjalnie dla Was odtwarzamy historię włamania na największą wówczas giełdę BTC.

Niespotykane załamanie rynku

19 czerwca nic nie zapowiadało katastrofy. Cena bitcoina oscylowała w okolicy kilkunastu dolarów, obroty na najważniejszej giełdzie, jaką był wtedy  MtGox, też nie wskazywały na zbliżającą się katastrofę (ktoś pamięta taką konkurencję jak TradeHill, Bitcoin7 czy Bitomat?). Interfejs giełdy wyglądał wtedy „trochę” inaczej niż ten znany jej niedawnym użytkownikom.

MtGox na początku 2011

W pewnym momencie pojawiło się mnóstwo ofert sprzedaży. Kurs zaczął spadać na łeb, na szyję. Po kilku minutach było już 10 dolarów, po kolejnych kilku 5, a po trzech kwadransach kurs BTC ustabilizował się na poziomie 1 centa. Jak później obliczono, ktoś rzucił na giełdę ponad 250 000 BTC w ofertach sprzedaży za minimalną stawkę. Ładnie widać to na wykresie, pokazującym kurs i obroty.

Wykres kursu z 19 czerwca

Przez przypadek w trakcie tego załamania rynku kurs obserwował jeden z niewielu analityków, zainteresowanych wówczas BTC, który nagrał na żywo swoje wrażenia z załamania giełdy. Nie był wtedy w stanie wytłumaczyć tego, co widzi. Aby zrozumieć przyczynę tej katastrofy musimy cofnąć się o tydzień, do 13 czerwca 2011.

Ktoś buszował na moim koncie, zaglądał do mojego portfela

Analizując historię tego incydentu natrafiliśmy na forum bitcointalk.org na całą serię wpisów użytkowników, którzy zgłaszają włamania na ich konta  MtGox. Skradzione przez włamywaczy kwoty wahają się od kilku monet do kilku tysięcy BTC. Pierwsze zgłoszenie, na jakie natrafiliśmy, pochodzi z 13 czerwca, zatem miało miejsce 6 dni przed załamaniem giełdy.

Ukradli moje BTC

Między 13 a 19 czerwca podobnych wpisów można znaleźć kilkanaście. W każdym z nich scenariusz jest podobny – ktoś zalogował się na konto, zakupił BTC za całą dostępną kwotę innych walut i wyprowadził BTC w siną dal. Oczywiście, jak możecie się domyślać, dział wsparcia giełdy na razie nie zauważa jeszcze problemu.

Baza MtGox na sprzedaż

Sytuacja zaczyna się powoli wyjaśniać 18 czerwca, kiedy to w serwisie Pastebin pojawia się oferta sprzedaży pełnej bazy użytkowników  MtGox.

Oferta sprzedaży bazy

Trochę zamieszania wprowadza jeden z uzytkowników, który informuje, ze kilka dni wcześniej odkrył błąd typu CSRF w mechanizmach giełdy i zapewnia, ze błąd ten został już usunięty. W końcu zabiera głos ówczesny właściciel giełdy, Mark Karpeles, występujący pod pseudonimem MagicalTux. Jego wypowiedź jest daleka od uspokajającej:

Wypowiedź Marka Karpelesa

Właściciel  MtGox twierdzi, że nie ma takiej możliwości, by ktoś sprzedawał loginy i hasła, ponieważ…. hasła są haszowane! A przecież haszowanie jest operacją nieodwracalną! Przypominamy, że mamy rok 2011, a nie 1981…

Wyciek bazy

Dość szybko okazuje się, że pan Karpeles nie miał racji i w sieci krąży pełna baza ponad 60 tysięcy użytkowników serwisu. Baza zawiera loginy, adresy email oraz hasze haseł. Dla użytkowników, którzy logowali się niedawno, hasze są już w formacie MD5  Crypt (solone MD5 i 1000 iteracji), a pozostałe konta ciągle mają hasła zapisane w czystym MD5.

Baza użytkowników MtGox

Udało nam się znaleźć najstarszy ślad po wycieku bazy, pochodzący już z 16 czerwca 2011. Jest to wpis na forum InsidePro, gdzie tajemniczy użytkownik prosi o pomoc w złamaniu kilku haszy.

Wpis z InsidePro

Po co to wszystko

Wiemy zatem, że nagłe załamanie kursu było skutkiem włamania do giełdy. Po co jednak ktoś chciał załamać kurs, skoro mógł czyścić konto po koncie? Najbardziej przekonująca teoria mówi o limicie transakcji. Niestety nie możemy jej obecnie zweryfikować, ale brzmi sensownie. Każde konto  MtGox posiadało dobowy limit wypłaty środków. Jeśli włamywaczom udało się dobrać do kont, na których znajdowały się bardzo duże ilości BTC (lub mogli wykreować dowolną ilość BTC na swoim koncie), nie mogli ich opróżnić z powodu przekroczenia limitu. Limit był jednak określony w walucie rozliczeniowej (np. USD), zatem załamanie kursu mogło być próbą wyciągnięcia większej ilości BTC za jednym zamachem.

Czemu nie doszło do ogromnej wypłaty? Od kiedy tylko użytkownicy zauważyli dziwne operacje, próbowali skontaktować się z Markiem Karpelesem, by sprawdził tę anomalię. Udało się to dopiero w momencie, gdy kurs już spadł do 1 centa. Ktoś zauważył ogromną transakcję na ponad 400 000 BTC, jednak okazało się, że to Karpeles w ostatniej chwili przeniósł BTC do innego portfela, uniemożliwiając całkowite okradzenie giełdy przez włamywacza. Szacuje się, ze straty wyniosły jedynie ok. 2000 BTC.

Aby usunąć skutki włamania, giełda została na wiele godzin wyłączona i anulowała wszystkie transakcje zawarte w trakcie kryzysu. Dodatkowo wprowadzono liczne tymczasowe ograniczenia w dostępie do kont, a nawet, w porozumieniu z Google, zablokowano do weryfikacji konta użytkowników w serwisie Gmail (jednym z poszkodowanych był pracownik Google).

Jak w ogóle doszło do włamania?

Wyciek pełnej bazy użytkowników sugeruje udany atak SQLi, jednak administracja przedstawiła inną teorię. Trzeba pamiętać, że do włamania doszło krótko po sprzedaży giełdy przez poprzedniego właściciela. Zapewne z uwagi na zapisy umowne, poprzedni posiadacz utrzymał możliwość podglądu zawartości bazy danych serwisu. Podobno włamywacz uzyskał dostęp do jego komputera, za pomocą którego dostał się do bazy danych i skopiował jej zawartość.

Co ciekawe, wiele wskazuje na to, że tym tajemniczym włamywaczem mógł być nasz rodak – ale o tym już wkrótce w drugiej części historii.