Gli hacker rubano 1,2 milioni di dollari in bitcoin da Inputs.io, un servizio di portafoglio presumibilmente sicuro

AGGIORNAMENTO (8 novembre, 13:06 GMT):

In un'intervista telefonica conProgramma radiofonico AM australianoTradefortress ha risposto alle accuse secondo cui il furto era stato "un lavoro interno", pur insistendo sul fatto che T avrebbe denunciato il furto alla polizia perché i bitcoin non sono rintracciabili e sarebbe impossibile risalire al colpevole.

Alla domanda sulla sua età, Tradefortress ha risposto alla pubblicazione: "Ho più di 18 anni, ma non molto di più".

L'identità pubblica di Tradefortresses rimane ancora sconosciuta, tuttavia la sua reputazione su Bitcointalk sembra esserediscutibile, con almenoduemembri che affermano di essere statitruffatoda lui per non aver consegnato i progetti di codifica per cui era già stato pagato. Ha detto che desidera mantenere l'anonimato perché ora teme per la sua sicurezza alla luce di questa recente rapina.

Tradefortress gestisce anche coinchat.com e coinlenders.com.

---------------------------------------

Tradefortress, lo sviluppatore del portafoglio web Bitcoin Inputs.io, ha rilasciato oggi una dichiarazione sul suo sito web, dopo essere stato costretto a chiuderlo a seguito di un grave incidente di hacking, affermando:

"So che T significa molto, ma mi dispiace. Dire che sono molto dispiaciuto per quello che è successo è un eufemismo."

Input.io

, che avrebbe dovuto essere un portafoglio web Bitcoin ad alta sicurezza, è stato apparentemente hackerato il 23 ottobre, quando i ladri hanno rubato bitcoin per un valore di oltre 1,2 milioni di dollari al momento BPIprezzi. La dichiarazione, pubblicata questa mattina, continua:

"Due hack per un totale di circa 4100 BTC hanno impedito a Inputs.io di pagare tutti i saldi degli utenti. L'aggressore ha compromesso l'account di hosting compromettendo gli account e-mail (alcuni molto vecchi e senza numeri di telefono allegati, quindi è stato facile reimpostarli). L'aggressore è riuscito a bypassare 2FA grazie a un difetto sul lato host del server.





"È stato anche ottenuto l'accesso al database, tuttavia le password sono archiviate in modo sicuro e sono sottoposte a hash sul client. "Se hai archiviato più di 1 BTC, invia un'e-mail a supporto@inputs.io con un indirizzo Bitcoin (preferibilmente, un portafoglio light/SPV offline e open source come Multibit O Elettro). Utilizza la stessa email che utilizzi su Inputs. Per favore, T conservare bitcoin su un dispositivo connesso a Internet, indipendentemente dal fatto che sia tuo o di un servizio.



"So che T significa molto, ma mi dispiace. Dire che sono molto triste per quello che è successo è un eufemismo".

SecondoNotizie sugli hacker, proprio come nelFurto di Bitfloor, in cui sono stati rubati 24.000 BTC , i bitcoin sono stati rubati dal "portafoglio HOT " del sito web, un portafoglio online che deve funzionare per elaborare prelievi in ​​tempo reale. Tuttavia, sembra che Inputs.io tenesse la maggior parte se non tutte le sue monete online, mentre altri servizi spesso KEEP offline fino all'80%.

Inputs.io afferma che, nonostante l'attacco informatico sia avvenuto il 23 ottobre, anche i depositanti che hanno effettuato depositi dopo tale data non sono al sicuro, poiché altri utenti sono riusciti a effettuare prelievi dal portafoglio condiviso.

Al contrario di un servizio comeBlockchain.info(che, sebbene generalmente ritenuto sicuro,ha avuto un problema di sicurezzaad agosto), Inputs.io è un portafoglio condiviso che gestisce il saldo dei suoi utenti e le loro chiavi private, dando loro pieno accesso a tutti i bitcoin in loro possesso.

L'accesso all'account Blockchain.info è protetto da un identificativo/alias, combinazione di password e autenticazione a due fattori ed è generalmente considerato sicuro. Tuttavia, come con qualsiasi Tecnologie, nulla è infallibile. Secondo l'utente del forum Bitcoin Talk 'masteroflove':

"Se il dominio blockchain.info viene compromesso, l'hacker può servire JavaScript dannoso che registrerà le tue password e potrà accedere a tutti i tuoi bitcoin. Ecco perché si consiglia di utilizzare l'app blockchain di Chrome o Firefox. Ma anche questa T è infallibile al 100%, poiché un aggressore che ottiene l'accesso alle credenziali della blockchain può inviare un aggiornamento dannoso che verrà automaticamente aggiornato sulle tue app del browser".

Ora vengono poste pubblicamente domande sullo sviluppatore principale di Inputs.io, Tradefortress, che, pur non essendo ancora molto noto al pubblico, afferma di avere una profonda conoscenza delle complessità delle procedure di sicurezza per i portafogli Bitcoin .

Quando CoinDesk ha contattato Tradefortress per un commento, ci ha informato che "l'attaccante è riuscito a compromettere vecchi account di posta elettronica che sono stati facilmente reimpostati poiché T avevano numeri di telefono associati. La compromissione ONE vecchio account di posta elettronica ha portato alla compromissione di un altro, consentendo loro alla fine di reimpostare la password per l'account di hosting e ottenere l'accesso shell dopo aver bypassato l'autenticazione a due fattori sul lato dell'host".

Ha continuato: "T utilizziamo la crittografia lato client; non è affatto infallibile e dà alle persone un falso senso di sicurezza".

Quando gli è stato chiesto quanto Inputs.io sarà in grado di rimborsare agli utenti, ha risposto in modo un po' oscuro: "[Saremo in grado di rimborsare] fino al 100%. Per Inputs si basa esclusivamente sull'importo. 1 BTC con l'attuale scala mobile sarebbe il 74%, 2 BTC il 65%... Questa cifra non è definitiva e se avremo monete in più saremo in grado di rimborsare di più".

In altre parole: se avevi meno di 1 BTC sugli Input dovresti recuperarlo, altrimenti preparati a subire una riduzione.