Ang mga hacker ay nagnanakaw ng $1.2 Milyon ng mga bitcoin mula sa Inputs.io, isang diumano'y secure na serbisyo ng wallet

I-UPDATE (ika-8 ng Nobyembre, 13:06 GMT):

Sa isang panayam sa telepono kay AM radio show ng AustraliaTumugon ang Tradefortress sa mga hamon na ang pagnanakaw ay 'isang panloob na trabaho', kahit na iginiit niya na T niya iuulat ang pagnanakaw sa pulisya dahil ang mga bitcoin ay hindi masusubaybayan at imposibleng masubaybayan ang salarin.

Nang tanungin ang tungkol sa kanyang edad, sinabi ni Tradefortress sa publikasyon: "Ako ay higit sa 18 ngunit hindi gaanong higit."

Ang pampublikong pagkakakilanlan ng Tradefortresses ay nananatiling hindi kilala, gayunpaman ang kanyang reputasyon sa Bitcointalk ay tila kaduda-duda, na may hindi bababa sa dalawa mga miyembrong nag-aangking naging niloko sa kanya dahil sa hindi niya paghatid sa mga coding projects na binayaran na siya. Sinabi niya na nais niyang panatilihin ang kanyang anonymity dahil nangangamba siya ngayon para sa kanyang kaligtasan dahil sa kamakailang heist na ito.

Ang Tradefortress ay nagpapatakbo din ng coinchat.com pati na rin ang coinlenders.com.

----------------------------------------

Ang Tradefortress, ang nag-develop sa likod ng Bitcoin web wallet na Inputs.io, ay naglabas ng isang pahayag sa kanyang website ngayon, pagkatapos na piliting isara ito pagkatapos ng isang malaking insidente ng pag-hack, na nagsasabing:

"Alam kong T ito gaanong ibig sabihin, ngunit pasensya na, at ang pagsasabi na labis akong nalulungkot na nangyari ito ay isang maliit na pahayag."

Inputs.io

, na nilayon upang maging isang high-security Bitcoin web wallet, ay tila na-hack noong ika-23 ng Oktubre, nang ninakaw ng mga magnanakaw ang mga bitcoin na nagkakahalaga ng higit sa $1.2m sa kasalukuyan BPI mga presyo. Ang pahayag, na inilathala ngayong umaga ay nagpapatuloy:

"Dalawang hack na humigit-kumulang 4100 BTC ang nag-iwan sa Inputs.io na hindi mabayaran ang lahat ng balanse ng user. Nakompromiso ng attacker ang hosting account sa pamamagitan ng pagkompromiso sa mga email account (ang ilan ay napakatanda na, at walang mga numero ng telepono na nakalakip, kaya madali itong i-reset). Nai-bypass ng attacker ang 2FA dahil sa isang depekto sa side ng server host.





"Nakuha din ang access sa database, gayunpaman, ang mga password ay ligtas na nakaimbak at na-hash sa kliyente. "Kung nag-imbak ka ng higit sa 1 BTC, magpadala ng email sa support@inputs.io na may Bitcoin address (mas mabuti, offline, open source light/SPV wallet tulad ng Multibit o Electrum). Gamitin ang parehong email na ginagamit mo sa Mga Input. Mangyaring T mag-imbak ng mga bitcoin sa isang nakakonektang device sa internet, hindi alintana kung ito ay sa iyo o sa isang serbisyo.



"Alam kong T ito gaanong ibig sabihin, ngunit pasensya na, at sinasabi ko na labis akong nalulungkot na ito ay nangyari ay isang maliit na pahayag."

Ayon sa Balita ng Hacker, tulad ng sa Pagnanakaw ng bitfloor, kung saan 24,000 BTC ang ninakaw, ang mga bitcoin ay ninakaw mula sa ' HOT wallet' ng website - isang online na wallet na kailangang gumana upang maproseso ang mga live na withdrawal. Gayunpaman, tila pinapanatili ng Inputs.io ang karamihan kung hindi lahat ng kanilang mga barya online, samantalang ang iba pang mga serbisyo ay madalas KEEP ng hanggang 80% offline.

Sinasabi ng Inputs.io na bagama't naganap ang hack noong ika-23 ng Oktubre, kahit na ang mga depositor na nagdeposito pagkatapos ng petsang iyon ay hindi ligtas, dahil ang ibang mga user ay nakapag-withdraw mula sa nakabahaging wallet.

Sa kaibahan sa isang serbisyo tulad ng Blockchain.info (na, bagaman sa pangkalahatan ay itinuturing na ligtas pa rin nagkaroon ng isyu sa seguridad noong Agosto), ang Inputs.io ay isang shared wallet na namamahala sa balanse ng mga user nito at ng kanilang mga pribadong key na nagbibigay sa kanila ng ganap na access sa lahat ng bitcoins na nakaimbak sa kanila.

Ang pag-access ng Blockchain.info account ay sinigurado ng isang identifier/alias, kumbinasyon ng password at dalawang-factor na pagpapatotoo at karaniwang itinuturing na secure. Gayunpaman, tulad ng anumang Technology, walang palya. Ayon sa Bitcoin Talk forum user na 'masteroflove':

"Kung ang blockchain.info domain ay nakompromiso, ang hacker ay maaaring maghatid ng malisyosong JavaScript na magre-record ng iyong mga password at makakakuha ng access sa lahat ng iyong bitcoins. Kaya naman inirerekomendang gamitin ang Chrome o Firefox blockchain app. Ngunit kahit na ito ay T 100% walang kabuluhan bilang isang attacker na nakakakuha ng access sa mga kredensyal ng blockchain ay maaaring mag-push ng isang nakakahamak na update na awtomatikong mag-a-update sa iyong browser apps."

Ang mga tanong ay itinatanong ngayon sa publiko tungkol sa pangunahing developer ng Inputs.io na Tradefortress, na, habang hindi pa rin kilala sa publiko, ay nag-aangkin na may malalim na pag-unawa sa mga kumplikado ng mga pamamaraan ng seguridad para sa mga Bitcoin wallet.

Nang lumapit ang CoinDesk sa Tradefortress para sa komento, sinabi niya sa amin na "nagagawang ikompromiso ng attacker ang mga mas lumang email account na madaling na-reset dahil T silang mga numero ng telepono na nakalakip. Ang pagkompromiso sa ONE mas lumang email account ay humantong sa kompromiso ng isa pa, sa kalaunan ay pinahihintulutan silang i-reset ang password para sa hosting account at makakuha ng shell access pagkatapos ng pag-bypass ng two-factor na pagpapatotoo ng host."

Ipinagpatuloy niya: "T kami gumagamit ng client-side encryption; iyon ay halos walang palya at nagbibigay sa mga tao ng maling pakiramdam ng seguridad".

Nang tanungin kung magkano ang maaaring i-reimburse ng Inputs.io sa mga user, medyo malabo siyang tumugon: "[Makakapag-refund kami] hanggang 100%. Para sa Mga Input, nakabatay lamang ito sa halaga. Ang 1 BTC sa kasalukuyang sliding scale ay magiging 74%, 2 BTC kung 65% pa ang natitira namin... At ang figure na ito ay hindi pa pinal.

Sa madaling salita: kung mayroon kang mas mababa sa 1 BTC sa Mga Input dapat mong ibalik ito, kung hindi, maging handa na magpagupit.