Анализ: Хакер почти украл у Bitstamp дополнительные 1,75 миллиона долларов

Кража

Биржа Bitstamp отчаянно пыталась избежать дополнительных потерь в 1,75 миллиона долларов биткойнами во время недавнего взлома. Такое мнение освещается в анализе блокчейна от независимого исследователя. В последние часы ограбления, когда у биржи украли $5,1 млн. биткойнами, еще одна сумма в $1,75 миллиона была быстро перемещена на адрес, который должен был использоваться как холодное хранилище биржи Bitstamp, рассказывает аналитик Дэнно Феррин (Danno Ferrin).

CoinDesk сможет подтвердить, что рассматриваемые адреса были под контролем биржи уже 2-го декабря. Руководитель биржи Нейч Кодрич сообщает, что тогда адрес использовался для проведения аудита. В то время как CEO сообщал, что данные должны быть показаны общественности на неделе 8 декабря, биржа не публиковала никаких данных аудита начиная с 24 мая.

Феррин публикует проведенный анализ блокчейна в своем блоге на CryptoCrumb. Он утверждает, что спасенные деньги скорее всего пришли с сотен адресов, которые биржа использовала для получения средств. Видимо, именно эти адреса формируют «операционный кошелек» Битстампа, который и был скомпрометирован 4 января, после чего 5,1 миллиона долларов были украдены.

Согласно анализу Феррина, данные по транзакциям в блокчейне говорят о переводе средств с операционного кошелька биржи на ранее аудированный адрес, а также на другой адрес, который считается принадлежащим хакеру.

Если Феррин прав, тогда риску подверглись 6,6 миллионов долларов из фондов Bitstamp, хотя в самый последний момент биржа смогла «вытащить» из лап хакера четверть почти украденных средств.

«Могло быть и хуже» — написал Феррин.

Поток транзакций

Взлом биржи приходится на ранние часы 4 января, когда 3 100 биткойнов были переведены на кошелек вора. Средства перетекали уверенно в течение следующих 16 часов. На момент 4 часов утра на адресе был баланс в около 6 000 биткойнов.

Затем приток монет ускорился. Позднее, 4 января, а также в первые часы следующего дня дополнительные 12 000 биткойнов были отправлены на этот кошелек.

В этот момент, кажется, биржа, наконец, заподозрила что-то неладное и начала быстро забирать деньги с «горячего» кошелька, помещая их в зону недосягаемости для хакера.

Спасенные деньги были переведены в «холодное хранилище» во время волны транзакций, проходивших в течении получаса, тогда были спасены 4 200 биткойнов. Адрес биржи получил 2 транзакции по 1 000 BTC в 00:54, 5 января. 15-ю минутами ранее были совершены платежи по 100 BTC в количестве 22-х. Большие переводы продолжались до 01:06, когда дополнительные 4 платежа по 100BTC были отправлены в холодное хранилище.

ХАК

Как уже упоминалось, адрес холодного хранилища получил всего 6 478 биткойнов, стоимость которых на момент 5 января составляла около 1,8 миллиона долларов. Адрес вора получил 18 977 биткойнов.

Гонка за монетами

Одно из объяснений того, что произошло 4 и 5 января, состоит в стремлении биржи быстро спасти свои фонды, для чего понадобилось заблокировать все обычные операции и попытаться «обогнать» хакера в опустошении «засветившегося» кошелька.

Феррин утверждает, что вор получил доступ ко всем адресам, связанным с «операционным» адресом биржи, потому как некоторые его сделки привели к генерации «адресов для сдачи», с которыми позднее начала работать биржа Bitstamp, а не хакер.

Один пример из блога Феррина показывает 32 BTC, которые были отправлены на адрес вора. Эта операция сгенерировала адрес для сдачи, который содержал примерно 0.64 BTC. Через 40 минут этот адрес опустошили, присоединив эту транзакцию к еще нескольким на общую сумму в 10 BTC, ведущим к холодному хранилищу Bitstamp.

Кошелек вора, таким образом, создал адрес для сдачи, который был также доступен для Bitstamp. Это дает нам повод думать, что вор имел контроль над внутренними системами биржи, которые занимаются управлением «засветившегося» кошелька, а также содержат его приватные ключи. (Да нет, скорее всего, у хакеров просто-напросто оказалась копия горячего кошелька биржи, судя по всему — прим. ред.)

Феррин так подытожил свое видение событий:

«Биржа и хакер — они знали, что были в одной гонке и каждый тянул одеяло на себя».

Анализ «вносит ясность»

Феррин написал приложение, названное Numisight, призванное превратить анализ блокчейна в хобби. Его постоянная работа — в компании-гиганте Oracle, в отделе выпуска софта. Он говорит, что релиз его софта скоро будет осуществлен.

Один из исследователей по безопасности прочел анализ Феррина и полностью с ним согласен.

Кристов Атлас, который начал Open Bitcoin Privacy Project, сказал, что последовательность транзакций подтверждает факт спасения работниками биржи приблизительно 1,75 миллиона долларов. Также он добавил, что пока есть лишь туманные догадки относительно того, как именно хакер смог проникнуть во внутренние системы Bitstamp.

Атлас говорит, что «временная линия, по которой Битстамп пытался сберечь как можно больше денег в холодном хранилище в последние часы атаки, имеет смысл».

Необъяснимые детали

Некоторые другие детали транзакций во время атаки на биржу продолжают мучать Феррина и ему подобных до сих пор.

Некоторые из транзакций в кошелек вора содержали очень высокие комиссии для майнеров, иногда достигавшие 1 BTC. Такие большие комиссии не ускорили бы проведение платежа в большинстве случаев, потому как большая сумма транзакции уже ставит операцию в приоритет для всех майнеров.

Майнеры оценивают приоритет операции, взвешивая ее размер и возраст, а уже потом считают комиссионные, прилагающиеся к ней.

Другая проблема в том, что является активностью по перемещению средств из «горячего» кошелька, которая длилась определенное время. Даже 8 января монеты все еще продолжали течь в бумажник хакера, что Ферриным и другими расценивается как поступления клиентов биржи, которые продолжали высылать деньги на скомпрометированные адреса.

Также странным Феррин считает решение вора перевести все украденные средства на один кошелек.

Отправка настолько большой суммы денег на один адрес позволяет развернуть плацдарм для широких исследований блокчейна. Кроме того, теперь эти деньги куда сложнее потратить незамеченным.

«Отправка всех денег на один адрес была огромной ошибкой», – сказал Феррин. «Если монетки продавались бы на обменнике или бирже, они могли бы засветиться, и продавца попросили бы объяснить, откуда он их взял. Они оставили бы след».

Движение украденных средств

Украденные монеты сейчас находятся в движении. Оригинальный адрес вора был сильно опустошен, после чего осталось всего 90.6 BTC. Деньги были разделены на маленькие «пачки» и отправились на 47 новых адресов — согласно последнему отчету Феррина от 7 января.

Некоторое количество монет уже отправлены в миксер, что даст возможность спрятать их «биографию» от последующих покупателей, которые смогли бы проследить движение средств прямиком к обозначенным как Bitstamp Hack.

Тем не менее, куда бы ни направлялись украденные монеты, все транзакции, связанные с кражей на бирже, будут отмечены в блокчейне.

«Вещи ранее происходили в прокуренных комнатах, где вы никогда бы ничего не узнали, теперь же доступен блокчейн, который дает возможность отправиться назад во времени и доказать движение средств, а затем их вернуть. Это как солнечный свет, который является лучшим средством от инфекции», – говорит Феррин.

Поправка: Феррин намеревается выпустить свою программу и оставить ее проприетарной, более ранняя версия этой статьи сообщала по ошибке, что его софт будет open source.

Источник: CoinDesk



Categories: Безопасность, Биржи, Инвестиции, Происшествия

Tags:

Leave a Reply

18 Комментарий на "Анализ: Хакер почти украл у Bitstamp дополнительные 1,75 миллиона долларов"

Notify of
avatar
trackback
Как экономист Милтон Фридман предсказал Биткойн – Bit•Новости

[…] преступности или нечистоплотного поведения, например воровства, наркоторговли или преступной […]

Полинезиец
Гость

а почему бы миксерам не отказаться принимать средства от кошельков, которые отмеченны как «адреса вора» ?

Анонимно
Гость

Спасибо за идею. Написал владельцам нескольких популярных миксеров. :trlf:

Анонимно
Гость

Ув. Авторы, огромная просьба — предупредите людей о мошенничестве http://1thash.com/ — этот тоже типо «банкрот» hashprofit но с новым «лицом» никакого оборудования у них НЕТ, запросите от них реальные фото — их 0, проверьте адрес их расположения и адрес АЭС… В общем — такие ублюдки портят отношение к криптовалютам в целом, лечше пусть разводят в стиле mmsic

Анонимно
Гость

Вбил на популярном сайте народного рейтинга сайтов. https://www.mywot.com/ru/scorecard/1thash.com

Гость

Видимо, просить перевода данной статьи на нормальный язык не стоит.

ferg
Гость

Анонимность биткоин? Нет, не слышал

Анонимно
Гость

Псевдонимность, не анонимность.

wpDiscuz