L'hacking di 8 milioni di Vericoin richiede un hard fork per recuperare i fondi

La piattaforma di scambio di valute digitali MintPal è stata vittima di un attacco hacker riuscito, che ha causato la perdita di milioni di vericoin dal suo HOT wallet.

L'attacco del 13 luglio ha preso di mira una vulnerabilità nel sistema di prelievo del sito. L'hacker, secondo una dichiarazione ufficiale diMentaPal, è riuscita ad aggirare i controlli interni e ad autorizzare una Request di prelievo del contenuto del Vericoino portafoglio.

In particolare, il Bitcoin del sito e Litecoini wallet sono stati presi di mira anche da coloro che hanno portato avanti l'attacco. Tuttavia, grazie alle procedure di cold storage esistenti di MintPal per quei wallet, i saldi degli utenti non sono stati influenzati durante l'incidente.

Questo risultato è potenzialmente incoraggiante, poiché le vulnerabilità dei portafogli HOT sono state un problema persistente tra i principali exchange Bitcoin quest'anno, con l'exchange di Bitcoin giapponese Mt. Gox che ha chiuso e che fornisce forse l'esempio più degno di nota di come i portafogli connessi possano essere presi di mira dagli hacker.

MintPal è uno scambio di valuta digitale alternativo registrato nel Regno Unito che scambia Bitcoin, Litecoin e valute alternative popolari come vericoin e moneta scura.

La risposta controversa di Vericoin

La violazione ha causato la perdita di circa 8 milioni di vericoin (VRC), ovvero circa il 30% del totale delle monete esistenti, ha dichiarato a CoinDesk un membro del team di sviluppo di vericoin.

Data l'entità del danno, il team di sviluppo di vericoin ha optato per un hard fork della blockchain della moneta per invertire la transazione di furto. Ciò è stato eseguito, hanno detto, per impedire la perdita di circa 2 milioni di $ in fondi degli investitori e impedire a un attore fraudolento di detenere il 30% della capacità di rete proof-of-stake della moneta.

Il fork è ora completo e i nuovi portafogli sono ora disponibili per il download, ha dichiarato il team di sviluppo di Vericoin a CoinDesk.

In una dichiarazione, il team di MintPal si è impegnato a recuperare tutte le perdite derivanti dall'attacco, comprese quelle di altri exchange che sono stati colpiti dall'evento, affermando:

"La più grande implicazione del rollback è per i vari exchange che hanno accettato i depositi dei clienti e poi hanno eseguito le transazioni su quei depositi. Ci siamo impegnati con i nostri clienti e con tutti gli exchange a coprire qualsiasi perdita subita a seguito del rollback."

CoinDesk ha contattato MintPal per un commento, ma non ha ricevuto una risposta immediata.

Anatomia di un attacco di scambio

L'attacco è avvenuto approssimativamente alle 7 del mattino BST e ha utilizzato unIniezione SQLper inizializzare il prelievo del portafoglio. Sei ore dopo, il team di sviluppo di MintPal ha contattato il team di vericoin, dopodiché è stata cercata e raggiunta una soluzione, in definitiva un hard fork.

Secondo MintPal, solo il portafoglio vericoin è stato colpito durante l'attacco. Ciò include il database contenente informazioni sensibili sui clienti e password.

La società ha dichiarato che la vulnerabilità è stata causata dalla mancata protezione dei saldi vericoin dei clienti nel cold storage, affermando:

"Avevamo configurato un sistema di cold storage per VRC, ma in questo caso, a causa di un errore di cui solo noi possiamo essere ritenuti responsabili, abbiamo trasferito molte meno monete del necessario, con il risultato che una grande percentuale di monete è rimasta nel portafoglio HOT ."

MintPal ha aggiunto che le procedure dell'azienda sono state modificate per includere protocolli di conservazione a freddo più rigorosi e l'istituzione di autorizzazioni di prelievo manuali fino a quando il sistema non sarà stato ripulito da tutte le vulnerabilità.

Restituzione delle monete rubate

Un primo tentativo di ripristinare la blockchain per invertire il furto di vericoin è stato avviato nelle ore successive all'attacco, il che ha comportato la ricreazione della blockchain originale senza il prelievo da MintPal.

Tuttavia, secondo lo sviluppatore di Vericoin Patrick Nosker, i vecchi client che trasmettevano la transazione facevano sì che la rete la approvasse per errore, consentendo all'hacker di ricevere l'8m VRC.

Un secondo hard fork è stato condotto il 14 luglio, un'operazione che ha comportato anche la creazione di una transazione che ha spostato l'8m VRC in una nuova posizione del portafoglio. Di conseguenza, i blocchi contenenti le transazioni di furto sono rimasti orfani e non sono stati accettati dalla rete.

Nosker ha detto a CoinDesk che la mossa era necessaria per proteggere gli investitori. Tuttavia, ha riconosciuto la controversia dietro la mossa e la frustrazione tra le persone coinvolte, dicendo:

"La comunità è chiaramente divisa. Alcuni pensano che siamo dei bravi ragazzi perché aiutiamo gli utenti a KEEP le loro monete rubate. Altri pensano che siamo cattivi perché "abusiamo" dei nostri diritti di sviluppo per modificare la blockchain. Noi crediamo di essere nel giusto, dato che sono stati inviati meno di $ 4.000 di VRC tra il momento del furto e l'hard fork, mentre altrimenti sarebbero stati inviati oltre $ 2 milioni di VRC".

Ha aggiunto: "T volevamo neanche che ONE individuo fosse in grado di effettuare un attacco al 51%".

Al momento della stampa, MintPal non ha ancora riattivato il suo mercato vericoin. Tuttavia, ONE degli amministratori del sito ha commentato che ora l'attenzione è rivolta all'identificazione dei clienti che hanno subito perdite.

Immagine dell'hackertramite Shutterstock