Pagsusuri: Bitstamp Hacker Halos Nakawin ang Karagdagang $1.75 Milyon

Bahagyang naiwasan ng Bitstamp na mawalan ng karagdagang $1.75m sa Bitcoin noong kamakailan nitong pag-hack, ayon sa pagsusuri ng blockchain ng isang independiyenteng mananaliksik.

Sa mga huling oras ng $5.1m heist na naganap sa exchange limang araw na nakalipas, ang $1.75m sa Bitcoin ay mabilis na inilipat sa isang address naisip na gagamitin para sa cold storage ng Bitstamp, nakita ng analyst na si Danno Ferrin.

Maaaring kumpirmahin ng CoinDesk na ang address na pinag-uusapan ay kinokontrol ng Bitstamp kamakailan noong ika-2 ng Disyembre. Ang punong ehekutibo ng kumpanya, si Nejc Kodric, ay nagsabi sa oras na ang address ay ginagamit sa panahon ng isang pag-audit. Habang sinabi ng CEO na ang data ay isapubliko sa linggo ng ika-8 ng Disyembre, ang exchange ay T nag-publish ng anumang mga resulta ng pag-audit mula noong ika-24 ng Mayo.

Ferrin, na nag-publish ng kanyang blockchain analysis sa kanyang blog CryptoCrumb, sinabi na ang mga nailigtas na pondo ay malamang na nagmula sa daan-daang mga address na ginamit ng palitan upang tanggapin ang mga deposito ng customer. Ang mga address na iyon ay lumilitaw na bumubuo sa 'operational wallet' na sinabi ni Bitstamp nakompromiso noong ika-4 ng Enero, na humahantong sa pagnanakaw ng $5.1m.

Ayon sa pagsusuri ni Ferrin, ang data ng transaksyon sa blockchain ay nag-uugnay sa mga pondong dumadaloy mula sa operational wallet ng Bitstamp papunta sa 'audit' address ng Bitstamp, gayundin sa ibang address na malawak na ipinapalagay na kontrolado ng magnanakaw.

Kung tama si Ferrin, ang kabuuang $6.6m sa mga pondo ng Bitstamp ay nasa panganib na manakaw, bagama't ang palitan ay nagawang iligtas ang halos isang-kapat ng mga pondo sa malapit na oras.

"Maaaring mas masahol pa," isinulat ni Ferrin.

Pagkagulo ng mga transaksyon

Lumilitaw na nagsimula ang hack noong unang bahagi ng ika-4 ng Enero, nang ang 3,100 BTC ay inilipat sa wallet ng pagnanakaw. Ang mga pondo ay tuluy-tuloy na dumaloy sa susunod na 16 na oras. Pagsapit ng 4pm, ang address ay may balanseng mahigit 6,000 coin.

Pagkatapos ay bumilis ang mga pagpasok. Sa huling bahagi ng ika-4 ng Enero at sa mga unang oras ng susunod na araw, isang karagdagang 12,000 barya ang inilagay sa pitaka ng pagnanakaw.

Sa puntong ito, lumitaw ang Bitstamp upang simulan ang pagwawalis ng mga pondo mula sa HOT nitong pitaka, na inilalagay ang mga ito sa labas ng maaabot ng mga hacker.

Ang mga na-rescue na pondo ay inilagay sa cold storage address sa isang kaguluhan ng mga paglilipat na nagaganap sa loob ng humigit-kumulang 30 minuto na nakakita ng 4,200 BTC na nadeposito.

Nakatanggap ang address ng exchange ng dalawang transaksyon ng 1,000 BTC noong 00:54 noong ika-5 ng Enero. Mga 15 minuto bago ito, nakuha na ito sa 22 paglilipat ng 100 BTC. Nagpatuloy ang malalaking paglilipat hanggang 01:06, nang may karagdagang apat na 100 BTC na tipak ang nadeposito.

Lahat ng sinabi, ang address ng malamig na imbakan nakatanggap ng kabuuang 6,478 BTC, nagkakahalaga ng humigit-kumulang $1.8m, noong ika-5 ng Enero. Ang address ng pagnanakaw may hawak na 18,977 bitcoin sa taas nito.

Race to grab funds

Ang ONE paliwanag para sa naganap noong ika-4 at ika-5 ng Enero ay ang pakikipagpalitan ay naka-lock sa isang karera kasama ang nanghihimasok upang kumuha ng mga pondo mula sa HOT na pitaka.

Ang magnanakaw ay lumilitaw na may access sa lahat ng mga address sa HOT na pitaka ng Bitstamp, sabi ni Ferrin, dahil ang ilang mga transaksyon ay nagpapakita ng pagnanakaw ng pitaka na bumubuo ng isang 'baguhin ang address' na kalaunan ay na-access ng Bitstamp.

ONE halimbawa nito na naka-highlight sa blog ni Ferrin ay nagpapakita ng 32 BTC na ipinadala sa address ng pagnanakaw. Ang transaksyong ito ay nakabuo ng pagbabago ng address na naglalaman ng humigit-kumulang 0.64 BTC. Makalipas ang ilang 40 minuto, nawalan ng laman ang change address na ito, na naging bahagi ng isang transaksyon na may kabuuang 10 BTC sa cold storage address ng Bitstamp.

Ang wallet ng magnanakaw, samakatuwid, ay lumikha ng isang pagbabago ng address na naa-access din ng Bitstamp. Iminumungkahi nito na nakuha ng magnanakaw ang kontrol sa mga panloob na sistema ng Bitstamp na namamahala sa HOT na pitaka nito at hindi lamang sa mga pribadong susi ng pitaka, sabi ni Ferrin, at idinagdag:

"Alam nila na sila ay nasa isang karera sa pagitan ng bawat isa upang angkinin kung ano ang natitira sa mesa."

Ang pagsusuri ay 'makatuwiran'

Sumulat si Ferrin ng isang piraso ng software na tinatawag Numisight upang magsagawa ng pagsusuri sa blockchain bilang isang libangan. Ang kanyang pang-araw-araw na trabaho ay nasa isang software deployment team sa enterprise software giant na Oracle. Sinabi niya na balak niyang ilabas ang kanyang software sa lalong madaling panahon.

Sumasang-ayon ang ONE mananaliksik sa seguridad na nakabasa ng pagsusuri ni Ferrin sa mga konklusyon nito.

Kristov ATLAS, na nagsimula ng Buksan ang Bitcoin Privacy Project, sinabi na ang pagkakasunud-sunod ng mga transaksyon ay pare-pareho sa paniwala na nailigtas ng Bitstamp ang halos isang-kapat ng mga pondong nasa panganib. Idinagdag niya na ang ebidensya ay nananatiling walang tiyak na paniniwala tungkol sa eksaktong paraan kung paano nilabag ng nanghihimasok ang mga sistema ng Bitstamp.

"Ang timeline ng Bitstamp na nagtatrabaho upang walisin ang mga barya sa malamig na imbakan sa mga huling oras ng pag-atake ay may katuturan," sabi ATLAS .

Hindi maipaliwanag na mga detalye

Gayunpaman, ang ilang iba pang mga detalye ng mga transaksyon sa pag-atake na inilathala sa blockchain ay patuloy na nagpapagulo sa mga analyst tulad ni Ferrin.

Ang ilang mga transaksyon sa pitaka ng pagnanakaw ay may mataas na bayad sa minero na hanggang 1 BTC . Ang ganitong mataas na mga bayarin ay T magdaragdag sa priyoridad ng transaksyon sa maraming mga kaso, dahil ang mga halaga ng transaksyon ay sapat na malaki upang bigyan ito ng mataas na priyoridad na katayuan sa mga minero.

Pinahahalagahan ng mga minero a priyoridad ng transaksyon sa pamamagitan ng pagtimbang sa laki at edad nito, bago isaalang-alang ang mga bayarin sa transaksyon na nakalakip.

Ang isa pang isyu ay kung ano ang tila patuloy na aktibidad at pagnanakaw mula sa HOT na pitaka ng Bitstamp. Kamakailan lamang noong ika-8 ng Enero, patuloy na FLOW ang mga barya sa wallet ng pagnanakaw, mula sa ipinapalagay ni Ferrin at ng iba pa na mga address kung saan nagdedeposito ng mga pondo ang mga customer ng Bitstamp.

Ang desisyon ng magnanakaw na ilipat ang lahat ng ill-gotten na pondo sa ONE address ay ONE din, sabi ni Ferrin.

Ang paglalagay ng napakaraming barya sa ONE address ay naghihikayat ng pagsisiyasat sa blockchain. Maaari rin nitong gawing mas mahirap para sa magnanakaw na gumastos nang hindi natukoy.

"Ang pagpapadala ng lahat sa ONE address ay isang malaking pagkakamali," sabi ni Ferrin. "[Kung ibinenta ang mga barya sa isang palitan], hihilingin sa kanila na ipaliwanag ito. Mag-iiwan sana sila ng bakas."

Mga ninakaw na barya sa paglipat

Ang mga ninakaw na barya ay gumagalaw na ngayon. Ang orihinal na address ng pagnanakaw ay halos nawalan ng laman sa 90.6 BTC na lang ang natitira. Ang mga pondo ay ibinahagi sa dose-dosenang mga bagong address – 47 sa huling bilang ni Ferrin noong ika-7 ng Enero.

Ang isang maliit na bilang ng mga barya ngayon ay lumilitaw na naipadala sa isang coin mixer, na magiging mas mahirap para sa mga susunod na mamimili ng mga barya na masubaybayan ang mga ito pabalik sa pagnanakaw ng Bitstamp.

Ngunit saanman mapunta ang mga ninakaw na barya, ang mga transaksyong nakapaligid sa pagnanakaw ay mananatiling available sa publiko sa blockchain.

"Ang mga bagay na dati ay nangyayari sa mga silid na puno ng usok na hindi mo malalaman, ngayon ang blockchain ay nagbibigay ng pagkakataon na bumalik sa nakaraan, patunayan ang mga ito na pabalik-balik. Ito ay uri ng sikat ng araw na ang pinakamahusay na disinfectant," sabi ni Ferrin.

Pagwawasto: Maaaring ilabas ni Ferrin ang kanyang software, ngunit KEEP niyang pagmamay-ari ang pinagmulan. Maling sinabi ng isang naunang bersyon ng artikulong ito na gagawin niyang open-source ang kanyang software.