El hackeo de 8 millones de Vericoin provoca una bifurcación dura para recuperar fondos

La plataforma de intercambio de moneda digital MintPal sufrió un ataque informático exitoso que resultó en la pérdida de millones de vericoins de su billetera HOT .

El ataque del 13 de julio se dirigió a una vulnerabilidad en el sistema de retiro del sitio. El hacker, según un comunicado oficial deMintPal, logró burlar los controles internos y autorizar una Request de retiro del contenido del vericoína billetera.

Cabe destacar que el sitio Bitcoin y LitecoinLas billeteras también fueron blanco de los atacantes. Sin embargo, gracias a los procedimientos de almacenamiento en frío de MintPal para dichas billeteras, los saldos de los usuarios no se vieron afectados durante el incidente.

Este resultado es potencialmente alentador ya que las vulnerabilidades de las billeteras HOT han sido un problema persistente entre los principales intercambios de Bitcoin este año, y el extinto intercambio de Bitcoin con sede en Japón Mt. Gox es quizás el ejemplo más notable de cómo los piratas informáticos pueden atacar las billeteras conectadas.

MintPal es un intercambio de moneda digital alternativo registrado en el Reino Unido que comercializa Bitcoin, Litecoin y monedas alternativas populares como vericoin y moneda oscura.

La controvertida respuesta de Vericoin

La violación resultó en la pérdida de aproximadamente 8 millones de vericoins (VRC), o alrededor del 30% del total de monedas existentes, dijo a CoinDesk un miembro del equipo de desarrollo de vericoin.

Dada la magnitud del daño, el equipo de desarrollo de Vericoin optó por bifurcar la cadena de bloques de la moneda para revertir la transacción robada. Esto se hizo, según afirmaron, para evitar la pérdida de aproximadamente 2 millones de dólares en fondos de inversores y evitar que un actor fraudulento controlara el 30 % de la capacidad de la red de prueba de participación de la moneda.

La bifurcación ahora está completa y hay nuevas billeteras disponibles para descargar, dijo el equipo de desarrollo de Vericoin a CoinDesk.

En un comunicado, el equipo de MintPal se comprometió a recuperar todas las pérdidas del ataque, incluidas las de otros exchanges que se vieron afectados por el evento, y afirmó:

La mayor implicación de la reversión es para las distintas plataformas de intercambio que han aceptado depósitos de clientes y ejecutado operaciones con ellos. Nos hemos comprometido con nuestros clientes y con todas las plataformas a cubrir cualquier pérdida que se produzca como resultado de la reversión.

CoinDesk contactó a MintPal para solicitar comentarios, pero no recibió una respuesta inmediata.

Anatomía de un ataque de intercambio

El ataque tuvo lugar aproximadamente a las 7 am BST y utilizó unInyección SQLPara inicializar el retiro de la billetera. Seis horas después, el equipo de desarrollo de MintPal contactó con el equipo de Vericoin, tras lo cual se buscó y se alcanzó una solución: una bifurcación dura.

Según MintPal, solo la billetera Vericoin se vio afectada durante el ataque. Esto incluye la base de datos que contiene información confidencial de clientes y contraseñas.

La empresa afirmó que la vulnerabilidad se debió a un fallo en la protección de los saldos de Vericoin de los clientes en el almacenamiento en frío, y afirmó:

Contábamos con almacenamiento en frío para VRC; sin embargo, en este caso, debido a un error del que solo nosotros somos responsables, transferimos muchas menos monedas de las necesarias, lo que provocó que una gran parte de ellas quedara en la billetera HOT .

MintPal agregó que se han cambiado los procedimientos de la compañía para incluir protocolos de almacenamiento en frío más estrictos, así como la institución de autorizaciones de retiro manuales hasta que el sistema haya sido limpiado de todas las vulnerabilidades.

Monedas robadas devueltas

En las horas posteriores al ataque se lanzó un intento inicial de revertir la cadena de bloques para revertir el robo de vericoin, que implicó recrear la cadena de bloques original sin la retirada de MintPal.

Sin embargo, según el desarrollador de Vericoin, Patrick Nosker, los clientes más antiguos que transmitían la transacción hicieron que la red la aprobara por error, lo que permitió que el pirata informático recibiera los 8 millones de VRC.

El 14 de julio se realizó una segunda bifurcación dura, operación que también implicó la creación de una transacción que trasladó los 8 millones de VRC a una nueva ubicación de billetera. Como resultado, los bloques que contenían las transacciones robadas quedaron huérfanos y no fueron aceptados por la red.

Nosker declaró a CoinDesk que la medida era necesaria para proteger a los inversores. Sin embargo, reconoció la controversia tras la medida y la frustración de los afectados, afirmando:

La comunidad está claramente dividida. Algunos piensan que somos buenos por ayudar a los usuarios a KEEP sus monedas robadas. Otros piensan que somos malos por abusar de nuestros derechos de desarrollo para modificar la blockchain. Creemos tener razón, ya que se enviaron menos de $4,000 en VRC entre el robo y la bifurcación dura, mientras que de lo contrario se habrían enviado más de $2 millones en VRC.

Agregó: "Tampoco T un individuo con la capacidad de atacar con el 51 por ciento".

Al cierre de esta edición, MintPal aún no ha reactivado su mercado de vericoin. Sin embargo, ONE de los administradores del sitio comentó que ahora se centran en identificar a los clientes que sufrieron pérdidas.

Imagen de hackervía Shutterstock