Silk Road 2 pierde más de 2,6 millones de dólares en bitcoins en un supuesto hackeo

El sitio web de mercado oscuro Silk Road 2 les dijo a sus clientes que todos sus bitcoins desaparecieron después de un ataque masivo, en el que se robaron al menos 4.476 bitcoins (con un valor actual de más de 2,6 millones de dólares).preciosSe cree que fueron robados. Los organizadores del sitio atribuyen el ataque al problema de maleabilidad de las transacciones, que apareció en las noticias esta semana.

"Nuestras investigaciones iniciales indican que un proveedor explotó una vulnerabilidad recientemente descubierta en el protocolo Bitcoin , conocida como "maleabilidad de las transacciones", para retirar monedas repetidamente de nuestro sistema hasta vaciarlo por completo", afirmó Defcon, ONE de los moderadores del sitio, en un foro de la red Tor.

La publicación añadió que los ladrones atacaron después de que los organizadores del sitio tardaran demasiado en responder a la preocupación generalizada de la industria sobre el ataque de maleabilidad de las transacciones. "A pesar de nuestros procedimientos de refuerzo y pruebas de penetración, este vector de ataque quedó fuera del alcance de las pruebas de penetración debido a que está arraigado en el propio protocolo Bitcoin ", afirmó.

Generalmente, los principios de seguridad adecuados para un sitio web basado en bitcoins implicarían que la mayor parte de sus bitcoins se almacenen en frío (es decir, almacenados fuera de línea), para que no pudieran ser robados por atacantes en línea. Sin embargo, la publicación indicaba que todos estaban almacenados en línea debido a mejoras en el backend del sitio.

"Teníamos previsto relanzar la nueva función de finalización automática y el Centro de Disputas el fin de semana pasado", declaró Defcon en la publicación. La implementación de ambas funciones habría incrementado el volumen de pedidos finalizados, lo que habría permitido que el sitio pusiera todos los bitcoins a disposición al instante.

La publicación incluía numerosas disculpas. "Debería haber seguido el ejemplo de MtGox y Bitstamp y haber desactivado los retiros en cuanto se reportó el problema de maleabilidad. Tardé en responder y era demasiado escéptico ante el posible problema", dijo Defcon antes de publicar las transacciones fraudulentas y pedir ayuda a la comunidad para desmantelar al presunto ladrón.

La publicación sugería que las billeteras de depósito en garantía (que guardan los fondos hasta la entrega de los productos) estaban comprometidas. ONE que no estaba claro era si las billeteras personales de los usuarios (que guardan los fondos cargados pero no gastados, o recibidos de clientes pero no retirados) habían sido robadas.

Algunas publicaciones en los foros sugerían que también habían sido comprometidos. "Eso parece, al menos en mi caso. Aunque solo deposité 0,1286 BTC anoche, veo una transacción en la blockchain que envió un pago a una dirección y yo no he realizado ninguna transacción", dijo un usuario que se hace llamar 'UncleFester'.

"Blockchain muestra que mi billetera SR está vacía. Así que el depósito y las billeteras desaparecieron :-(", dijo otro, 'meathead_420'.

Otros sugirieron que es posible que se hayan retirado todas las monedas restantes del servidor Silk Road 2 mientras se resolvía la situación.

¿Cómo ha ocurrido?

Lo que aún no está claro es cómo un ataque de maleabilidad de transacciones pudo haber resultado en el vaciado completo de una cuenta de depósito en garantía. El ataque consiste en cambiar el ID de una transacción de Bitcoin para que el remitente crea que no ha ocurrido.

[cita posterior]

A medida quedetallado A principios de esta semana, el simple cambio de ID no basta para provocar el robo de una moneda. La persona u organización que envía los bitcoins (en este caso, Silk Road) presumiblemente tendría que reenviarlos de forma inmediata y automática en caso de una queja fraudulenta de un cliente, y tendría que darse cuenta de que casi 5000 bitcoins estaban desapareciendo de sus cuentas de depósito en garantía sin inmutarse.

"Lo siento, Defcon, pero si MT Gox y Bitstamp tuvieron la previsión de cancelar los retiros mientras solucionaban el problema, ¿por qué no tomaron las mismas medidas?", preguntó 'Solista'.

"¿Por qué tardó tanto?"para siempre "¿Mover fondos dentro y fuera de mi billetera pero hasta el último BIT de BTC desaparece en un abrir y cerrar de ojos?" dijo 'garconSR2' en respuesta a la publicación de Defcon.

Los expertos técnicos estaban desconcertados y escépticos. "¿Cometerían los delincuentes errores tontos? Es infinitamente factible. La mayoría de los sitios web profundos como este probablemente sean honeypots o estafas a largo plazo", dijo Jeff Garzik, desarrollador CORE de Bitcoin .

Defon proporcionó algunos detalles del ataque, explicando que alguien, probablemente operando en Francia, utilizó varias cuentas de proveedores para realizar pedidos entre sí y así encontrar y explotar la vulnerabilidad. La cuenta principal se llamaba "narco93", según la publicación.

Defcon ofreció ayudar a quienes corrían mayor riesgo de robo con sus propios fondos. Al menos un usuario, dimon114, parecía necesitar ayuda. "Si mis proveedores no enviaron lo que pedí, ahora estoy en grave peligro físico", dijo.

Aunque muchos cuestionaron la veracidad de la historia, otros se aprovecharon de las pruebas proporcionadas por Defcon para intentar obtener más detalles. Un usuario encontró una billetera en línea que, según él, podría ser un posible destino de los fondos. Esta billetera blockchainParece haber recibido 8566 bitcoins en 60 transacciones.en los últimos dos díasPoco más de la mitad de ellos siguen ahí al momento de escribir este artículo. No hay pruebas de que esta billetera haya sido utilizada por ningún presunto ladrón de Bitcoin hasta el momento.

Usuario anónimoimagen vía Shutterstock