8 Milyong Vericoin Hack Nag-uudyok sa Hard Fork na Mabawi ang mga Pondo

Ang digital currency exchange platform na MintPal ay dumanas ng matagumpay na pag-atake ng hack na nagresulta sa pagkawala ng milyun-milyong vericoin mula sa HOT nitong wallet.

Ang pag-atake ng ika-13 ng Hulyo ay nag-target ng isang kahinaan sa sistema ng pag-withdraw ng site. Ang hacker, ayon sa isang opisyal na pahayag mula sa MintPal, ay nagawang iwasan ang mga panloob na kontrol at pahintulutan ang isang Request sa pag-withdraw para sa mga nilalaman ng vericoin wallet.

Kapansin-pansin, ang Bitcoin at ang site Litecoin mga wallet ay tinarget din ng mga nasa likod ng pag-atake. Gayunpaman, dahil sa umiiral na mga pamamaraan ng cold storage ng MintPal para sa mga wallet na iyon, hindi naapektuhan ang mga balanse ng user sa panahon ng insidente.

Ang resulta na ito ay potensyal na nakapagpapatibay dahil ang mga kahinaan sa HOT na wallet ay naging isang patuloy na isyu sa mga pangunahing palitan ng Bitcoin ngayong taon, na may hindi na gumaganang exchange ng Bitcoin na nakabase sa Japan na Mt. Gox na nagbibigay marahil ng pinakakapansin-pansing halimbawa kung paano maaaring ma-target ng mga hacker ang konektadong mga wallet.

Ang MintPal ay isang alternatibong digital currency exchange na nakarehistro sa UK na nakikipagkalakalan ng Bitcoin, Litecoin at mga sikat na alternatibong pera gaya ng vericoin at darkcoin.

Ang kontrobersyal na tugon ng Vericoin

Ang paglabag ay nagresulta sa pagkawala ng humigit-kumulang 8 milyong vericoins (VRC), o humigit-kumulang 30% ng kabuuang mga barya na umiiral, sinabi ng isang miyembro ng vericoin development team sa CoinDesk.

Dahil sa lawak ng pinsala, pinili ng vericoin development team na i-hard fork ang block chain ng coin para mabaliktad ang transaksyon sa pagnanakaw. Ginawa ito, sabi nila, upang kapwa maiwasan ang pagkawala ng humigit-kumulang $2m sa mga pondo ng mamumuhunan at pigilan ang isang mapanlinlang na aktor na humawak ng 30% ng kapasidad ng network ng proof-of-stake ng coin.

Kumpleto na ang tinidor, na may mga bagong wallet na magagamit na ngayon para sa pag-download, sinabi ng vericoin development team sa CoinDesk.

Sa isang pahayag, ang koponan ng MintPal ay nangako na babawiin ang lahat ng pagkalugi mula sa pag-atake, kabilang ang mga mula sa iba pang mga palitan na naapektuhan ng kaganapan, na nagsasabing:

"Ang pinakamalaking implikasyon ng rollback ay sa iba't ibang mga exchange na tumanggap ng mga deposito ng customer at pagkatapos ay nagkaroon ng mga trade na naisakatuparan sa mga deposito na iyon. Kami ay nakatuon sa aming mga customer at sa lahat ng mga exchange na sasakupin namin ang anumang pagkalugi na nahaharap bilang resulta ng rollback."

Naabot ng CoinDesk ang MintPal para sa komento ngunit hindi nakatanggap ng agarang tugon.

Anatomy ng isang exchange attack

Ang pag-atake ay naganap sa humigit-kumulang 7 am BST, at ginamit ang a SQL injection para simulan ang pag-withdraw ng wallet. Pagkalipas ng anim na oras, nakipag-ugnayan ang pangkat ng pag-unlad ng MintPal sa koponan ng vericoin, pagkatapos noon isang solusyon - sa huli ay isang matigas na tinidor - ay hinanap at naabot.

Ayon sa MintPal, ang vericoin wallet lamang ang naapektuhan sa pag-atake. Kabilang dito ang database na naglalaman ng sensitibong impormasyon ng customer at mga password.

Sinabi ng kumpanya na ang isang pagkabigo sa pag-secure ng mga balanse ng vericoin ng customer sa cold storage ay humantong sa kahinaan, na nagsasabi:

"Nagkaroon kami ng cold storage setup para sa VRC, gayunpaman sa pagkakataong ito, dahil sa isang error na kami lang ang mananagot, naglipat kami ng mas kaunting mga barya kaysa sa kinakailangan, na nagreresulta sa malaking bahagi ng mga barya ang naiwan sa HOT na pitaka."

Idinagdag ng MintPal na ang mga pamamaraan ng kumpanya ay binago upang isama ang mas mahigpit na cold storage protocol pati na rin ang institusyon ng mga manual withdrawal clearance hanggang sa ma-clear ang system para sa lahat ng mga kahinaan.

Ibinalik ang mga ninakaw na barya

Ang isang paunang pagtatangka na ibalik ang block chain upang baligtarin ang pagnanakaw ng vericoin ay inilunsad sa mga oras pagkatapos ng pag-atake, na kinasasangkutan ng muling paglikha ng orihinal na block chain nang walang pag-withdraw mula sa MintPal.

Gayunpaman, ayon sa developer ng vericoin na si Patrick Nosker, ang mga matatandang kliyente na nagbo-broadcast ng transaksyon ay nagresulta sa maling pag-apruba nito sa network, na nagpapahintulot sa hacker na matanggap ang 8m VRC.

Ang pangalawang hard fork ay isinagawa noong ika-14 ng Hulyo, isang operasyon na kasangkot din sa paglikha ng isang transaksyon na inilipat ang 8m VRC sa isang bagong lokasyon ng wallet. Bilang resulta, ang mga bloke na naglalaman ng mga transaksyon sa pagnanakaw ay naulila at nanatiling hindi tinanggap ng network.

Sinabi ni Nosker sa CoinDesk na ang paglipat ay kinakailangan upang maprotektahan ang mga mamumuhunan. Gayunpaman, kinilala niya ang kontrobersya sa likod ng paglipat at ang pagkabigo sa mga apektado, na nagsasabing:

"Malinaw na nahahati ang komunidad. Iniisip ng ilan na mabubuti kaming tao sa pagtulong sa mga user KEEP ang kanilang ninakaw na barya. Iniisip ng iba na masama kami sa 'pag-abuso' sa aming mga karapatan ng dev para baguhin ang blockchain. Naniniwala kami na nasa tama kami dahil wala pang $4,000 na halaga ng VRC ang naipadala sa pagitan ng oras ng pagnanakaw at hard fork, habang mahigit $2m ng VRC ang naipadala sana."

Idinagdag niya: "T rin namin gusto ang ONE indibidwal na may kakayahang 51% na pag-atake".

Sa press time, hindi pa na-reactivate ng MintPal ang vericoin market nito. Gayunpaman, nagkomento ang ONE sa mga admin ng site na ang focus ngayon ay ang pagtukoy sa mga customer na natalo.

Larawan ng hacker sa pamamagitan ng Shutterstock