Le processeur de paiement Bitcoin BIPS attaqué, plus d'un million de dollars volés

Le principal processeur de paiement Bitcoin d'Europe pour les commerçants et service de portefeuille en ligne gratuit, BIPS, a été la cible d'une attaque DDoS majeure et d'un vol ultérieur au cours des derniers jours qui a vu 1 295 BTC (un peu plus d'un million de dollars sur BPI de CoinDesk) volé.

Kris Henriksen, PDG de BIPS, a déclaré que la plupart des fonds manquants Les bitcoins « provenaient des avoirs de l'entreprise ». BIPS utilise un algorithme, basé sur l'offre et la demande, pour calculer la quantité de bitcoins dont elle a besoin pour les KEEP dans un « portefeuille HOT ». Le vol, cependant, n'était apparemment pas dû à une quelconque vulnérabilité dans le code lui-même.

Il a également déclaré que les commerçants qui avaient choisi de convertir instantanément leurs comptes bancaires en Bitcoin en monnaie fiduciaire n'étaient pas affectés.

Vol

L’entreprise basée à Copenhague, au Danemark, a été la cible d’une attaque DDoS massive le 15 novembre. Le 17 novembre, elle a été suivie d’une autre attaque qui a désactivé le site et « surchargé nos commutateurs gérés et déconnecté la connexion iSCSI au SAN sur les serveurs BIPS ».

« Malheureusement, malgré plusieurs couches de protection, l'attaque a rendu le système vulnérable, ce qui a ensuite permis à l'attaquant d'accéder et de compromettre plusieurs portefeuilles », a déclaré la société dans une déclaration écrite.

BIPS estime que les deux attaques étaient liées, et qu’au moins l’attaque DDoS initiale « provenait de Russie et des pays voisins ». La société a réagi rapidement pour rétablir l’intégralité des services de paiement et de transfert aux commerçants le 19 novembre, mais a désactivé toutes les fonctions du portefeuille afin de procéder à une analyse approfondie. Son service d’assistance a également été interrompu pendant quelques jours, mais a été rétabli le 22 novembre.

Enquête

Sous le BIPSJuridique de Politique de confidentialité, il n'est pas permis de divulguer les informations des utilisateurs à quiconque, même aux autorités. Ils vont maintenant mettre en place un système permettant aux utilisateurs de portefeuilles concernés de signer volontairement les documents d'autorisation requis, afin de s'engager dans une enquête plus approfondie avec les forces de l'ordre pour retrouver les coupables.

Henriksen a souligné que le traitement des transactions marchandes « a été rétabli très rapidement, et si vous aviez activé la conversion automatique, il n'y avait rien à craindre ».

La déclaration officielle du BIPS sur son site Internet est la suivante :

Afin de protéger le succès de son activité de traitement des transactions commerciales, BIPS a décidé de fermer temporairement son initiative de portefeuille client.





BIPS a été la cible d'une attaque coordonnée et d'une faille de sécurité ultérieure. Plusieurs portefeuilles de consommateurs ont été compromis et BIPS contactera les utilisateurs concernés.



En conséquence, BIPS va temporairement fermer l'initiative de portefeuille pour se concentrer sur les activités de traitement des transactions en temps réel des commerçants, qui n'incluent pas le stockage de bitcoins. Par la suite, BIPS envisagera de réintroduire l'initiative de portefeuille avec un modèle de sécurité repensé.



L'initiative de portefeuille grand public n'a pas été l'activité CORE de BIPS et, en tant que telle, le fait qu'elle ait malheureusement affecté plusieurs utilisateurs n'a pas eu d'impact sur l'acquisition de commerçants de BIPS.



Tous les utilisateurs existants seront invités à transférer des bitcoins vers d'autres solutions de portefeuille, et les utilisateurs affectés par la faille de sécurité seront contactés.

La restauration des services marchands n'a cependant pas vraiment réconforté les propriétaires de portefeuilles individuels.Forum de discussion BitcoinPlusieurs utilisateurs ont exprimé leur colère à l'idée de perdre leurs fonds et ont estimé que le BIPS n'avait pas fourni de déclarations claires sur ce qui avait été volé, à qui et combien.

Un membre même crééun « formulaire d'inscription à un éventuel procès bips.me » permettant aux utilisateurs de saisir leurs coordonnées et le nombre de bitcoins manquants, dans le but de susciter une solution négociée.

Bien que l’attaque et le vol mettent en évidence les problèmes de sécurité auxquels sont confrontés certains services de portefeuille en ligne, ils sont significatifs compte tenu de la base d’utilisateurs relativement importante de BIPS et de sa notoriété sur le marché. En plus des comptes en ligne, BIPS a également proposé une fonction de portefeuille papier pour ceux qui souhaitent une solution de stockage à long terme plus sûre.