Analisi: l'hacker di Bitstamp ha quasi rubato altri 1,75 milioni di dollari

Secondo un'analisi della blockchain condotta da un ricercatore indipendente, Bitstamp ha evitato per un pelo di perdere altri 1,75 milioni di dollari in Bitcoin durante il suo recente hack.

Nelle ultime ore di una rapina da 5,1 milioni di dollari avvenuta presso la borsa cinque giorni fa, i 1,75 milioni di dollari in Bitcoin sono stati rapidamente trasferiti su un indirizzosi pensa che Bitstamp lo utilizzi per l'archiviazione a freddo, ha scoperto l'analista Danno Ferrin.

CoinDesk può confermare che l'indirizzo in questione era controllato da Bitstamp fino al 2 dicembre. Il CEO dell'azienda, Nejc Kodric, ha dichiarato all'epoca che l'indirizzo era stato utilizzato durante un audit. Mentre il CEO ha affermato che i dati sarebbero stati resi pubblici nella settimana dell'8 dicembre, l'exchange T ha pubblicato alcun risultato di audit da allora 24 maggio.

Ferrin, che pubblica la sua analisi blockchain sul suo blogCriptoCrumb, ha affermato che i fondi salvati probabilmente provenivano dalle centinaia di indirizzi che l'exchange utilizzava per accettare i depositi dei clienti. Tali indirizzi sembrano formare il "portafoglio operativo" che Bitstamp ha affermato esserecompromessoil 4 gennaio, portando al furto di 5,1 milioni di dollari.

Secondo l'analisi di Ferrin, i dati delle transazioni sulla blockchain collegano i fondi che escono dal portafoglio operativo di Bitstamp all'indirizzo di "audit" di Bitstamp, nonchéun altro indirizzoche si presume ampiamente sia controllato dal ladro.

Se Ferrin ha ragione, allora un totale di 6,6 milioni di dollari in fondi Bitstamp rischiavano di essere rubati, anche se l'exchange è riuscito a salvare circa un quarto dei fondi proprio all'ultimo minuto.

"Poteva andare peggio", ha scritto Ferrin.

Raffica di transazioni

L'hacking sembra essere iniziato nelle prime ore del 4 gennaio, quando 3.100 BTC sono stati trasferiti nel portafoglio rubato. I fondi sono affluiti in modo costante per le successive 16 ore. Alle 16:00, l'indirizzo aveva un saldo di oltre 6.000 monete.

Poi gli afflussi hanno accelerato. Verso la fine del 4 gennaio e nelle prime ore del giorno successivo, altre 12.000 monete sono state inserite nel portafoglio antifurto.

A questo punto, Bitstamp sembrava aver iniziato a sottrarre fondi dal suo HOT wallet, mettendoli fuori dalla portata degli hacker.

I fondi recuperati sono stati trasferiti all'indirizzo cold storage in una serie di trasferimenti che hanno avuto luogo nell'arco di circa 30 minuti, durante i quali sono stati depositati 4.200 BTC .

L'indirizzo dell'exchange ha ricevuto due transazioni da 1.000 BTC alle 00:54 del 5 gennaio. Circa 15 minuti prima, aveva già ricevuto 22 trasferimenti da 100 BTC. I grandi trasferimenti sono continuati fino alle 01:06, quando sono stati depositati altri quattro blocchi da 100 BTC .

Tutto sommato, ilindirizzo di stoccaggio a freddo ha ricevuto un totale di 6.478 BTC, per un valore di circa $ 1,8 milioni, il 5 gennaio. indirizzo di furtodeteneva 18.977 bitcoin al suo apice.

Corsa per accaparrarsi i fondi

ONE spiegazione per quanto accaduto il 4 e 5 gennaio è che l'exchange era impegnato in una gara con l'intruso per accaparrarsi i fondi dal portafoglio HOT .

Il ladro sembrava avere accesso a tutti gli indirizzi nel portafoglio HOT di Bitstamp, afferma Ferrin, perché alcune transazioni mostrano che il portafoglio del furto genera un 'cambiare indirizzo' a cui in seguito ha avuto accesso Bitstamp.

ONE esempio di questo evidenziato sul blog di Ferrin mostra 32 BTC inviati all'indirizzo del furto. Questa transazione ha generato un indirizzo di modifica che conteneva circa 0,64 BTC. Circa 40 minuti dopo, questo indirizzo di modifica è stato svuotato, formando parte di una transazione per un totale di 10 BTC all'indirizzo di cold storage di Bitstamp.

Il portafoglio del ladro, quindi, ha creato un indirizzo di cambio accessibile anche da Bitstamp. Ciò suggerisce che il ladro aveva ottenuto il controllo dei sistemi interni di Bitstamp che governavano il suo portafoglio HOT e non solo delle chiavi private di quel portafoglio, ha detto Ferrin, aggiungendo:

"Sapevano che erano in gara tra loro per accaparrarsi ciò che era rimasto sul tavolo."

L'analisi "ha senso"

Ferrin ha scritto un software chiamatoNumivistaper eseguire analisi blockchain come hobby. Il suo lavoro quotidiano è in un team di distribuzione software presso il gigante del software aziendale Oracle. Dice che intende rilasciare il suo software presto.

ONE ricercatore in sicurezza che ha letto l'analisi di Ferrin concorda con le sue conclusioni.

Kristov ATLAS, che ha iniziato il Progetto Open Bitcoin Privacy, ha affermato che la sequenza delle transazioni era coerente con l'idea che Bitstamp avesse recuperato circa un quarto dei fondi a rischio. Aggiunge che le prove rimangono inconcludenti su come esattamente l'intruso abbia violato i sistemi di Bitstamp.

"La tempistica con cui Bitstamp ha lavorato per trasferire le monete in un cold storage nelle ultime ore dell'attacco ha senso", ha affermato ATLAS .

Dettagli inspiegabili

Tuttavia, diversi altri dettagli delle transazioni di attacco pubblicate sulla blockchain continuano a lasciare perplessi analisti come Ferrin.

Un certo numero di transazioni al portafoglio di furto avevano commissioni elevate per i minatori fino a 1 BTC . Commissioni così elevate T avrebbero aumentato la priorità della transazione in molti casi, perché gli importi della transazione erano già abbastanza grandi da garantirle lo status di alta priorità tra i minatori.

I minatori apprezzano unpriorità della transazionevalutandone le dimensioni e l'età, prima di considerare le commissioni di transazione applicate.

Un altro problema è quello che sembra essere un'attività continua e un furto dal portafoglio HOT di Bitstamp. Ancora l'8 gennaio, le monete hanno continuato a FLOW nel portafoglio del furto, da quelli che Ferrin e altri presumono essere indirizzi in cui i clienti di Bitstamp depositano fondi.

Anche la decisione del ladro di trasferire tutti i fondi illeciti a ONE indirizzo è ONE, afferma Ferrin.

Incanalare una così grande quantità di monete in ONE indirizzo incoraggia l'esame della blockchain. Potrebbe anche rendere più difficile per il ladro spendere le monete senza essere scoperto.

"Inviare tutto a ONE indirizzo è stato un errore enorme", ha detto Ferrin. "[Se le monete fossero state vendute in borsa], gli sarebbe stato chiesto di spiegarlo. Avrebbero lasciato una traccia".

Monete rubate in movimento

Le monete rubate sono ora in movimento. L'indirizzo originale del furto è stato in gran parte svuotato, con solo 90,6 BTC rimasti. I fondi sono stati distribuiti a decine di nuovi indirizzi, 47 all'ultimo conteggio di Ferrin del 7 gennaio.

Sembra che un piccolo numero di monete sia stato inviato a un mixer di monete, il che renderebbe più difficile per i futuri acquirenti delle monete risalire al furto di Bitstamp.

Ma indipendentemente da dove finiscano le monete rubate, le transazioni relative al furto rimarranno ora pubblicamente disponibili sulla blockchain.

"Una volta nelle stanze piene di fumo accadevano cose di cui non avresti mai saputo nulla, ora la blockchain offre l'opportunità di tornare indietro nel tempo, di dimostrare che sono andate all'indietro. È un po' come se la luce del sole fosse il miglior disinfettante", ha detto Ferrin.

Correzione: Ferrin potrebbe rilasciare il suo software, ma ne KEEP la proprietà intellettuale. Una versione precedente di questo articolo diceva erroneamente che avrebbe reso il suo software open source.