L'hacking di Bitcoin Bitfinex: cosa sappiamo (e cosa T sappiamo)

Ieri sono stati rubati Bitcoin per un valore di oltre 60 milioni di dollari da ONE dei più grandi exchange di valute digitali al mondo e, a quasi 24 ore di distanza, l'evento è ancora avvolto nel mistero.

Ciò che è chiaro, però, è che l'impatto è di vasta portata.

Il furto di Bitfinex rappresenta la più grande perdita di bitcoin da parte di un exchange dai tempi del famigerato Mt Gox giapponeseperso 744.408 BTCall'inizio del 2014 (vale 350 milioni di dollari), una violazione che alla fine ne causerebbe la cessazione delle attività.

Al momento della stampa, il valore dei 119.756 BTC rubati a Bitfinex ammonta a circa 66 milioni di dollari, ovvero circa il 18% di quanto perso dal Monte Gox.

Date le dimensioni, il furto ha suscitato confusione e frustrazione tra gli operatori di mercato e gli osservatori sin dal suo annuncio.

Fonti vicine alla borsa hanno in gran parte evitato di rilasciare dichiarazioni sulla questione se i 119.756 BTC rubati rappresentino la reale portata dell'attacco informatico, e la stessa Bitfinex non ha ancora pubblicato alcun risultato della sua indagine interna in corso.

Ecco cosa sappiamo (e cosa T sappiamo) finora:

Ciò che sappiamo

Gli account multi-firma sono stati interessati

La fonte della vulnerabilità sembra risiedere nel modo in cui Bitfinex ha strutturato i suoi conti e nell'utilizzo del fornitore di portafogli Bitcoin BitGo come ulteriore livello di sicurezza sulle transazioni dei clienti.

Annunciati nel 2015, Bitfinex e BitGoha creato un sistemain base a ciò, a ciascun cliente verrebbero forniti portafogli multi-firma, ovvero portafogli in cui le chiavi vengono divise tra più proprietari per gestire il rischio.

La borsa dichiarò all'epoca:

"L'era della commistione tra Bitcoin dei clienti e tutti i rischi di sicurezza associati è finita."

Come indicato nella citazione, le aziende cercarono di trovare un'alternativa al processo standard utilizzato dagli exchange all'epoca, che prevedeva che i fondi dei clienti venissero mescolati in portafogli offline più grandi e portafogli connessi o "HOT" utilizzati per soddisfare le richieste di liquidità.

Piuttosto, ogni utente Bitfinex ha il proprio set di chiavi creato sulla piattaforma, utilizzando una disposizione delle chiavi 2 su 3, in base alla quale Bitfinex deteneva due delle chiavi (di cui ONE offline) e BitGo utilizzava la terza per co-firmare le transazioni.

Per prelevare una quantità così grande di fondi, BitGo avrebbe probabilmente dovuto approvare quelle transazioni.

Perdite significative per i clienti di Bitfinex

Sebbene non sia chiara l'entità esatta delle perdite subite dai clienti su base individuale, ci sono segnali che indicano che un sottoinsieme significativo della comunità di trading Bitcoin è stato colpito.

Nelle ore successive alla notizia, i membri della comunità si sono rivolti a Twitter e Redditsegnalareche i loro conti erano stati prosciugati.

Alcuni utenti hanno espresso esasperazione nonostante siano state adottate misure di sicurezza come l'autenticazione a due fattori, in cui vengono utilizzati dispositivi secondari (come un telefono cellulare) per fornire un ulteriore livello di passkey.

D'altro canto, si dice che i fondi trasferiti all'exchange in seguito all'hacking siano sicuri, ma l'exchange non ha ancora rilasciato dettagli su quando e come verranno gestiti i prelievi.

I prezzi Bitcoin sono crollati drasticamente

ONE degli effetti più diretti dell'attacco informatico a Bitfinex è stato riscontrato nel prezzo del Bitcoin, crollato dopo la diffusione della notizia.

I prezzi sono scesi diquasi il 20%, crollando fino a 480 USD prima di riprendersi.

Al momento della stampa, il prezzo del Bitcoin è di circa 552 $, secondo l'indice Bitcoin USD Price CoinDesk , in aumento di circa 70 $ rispetto al minimo di ieri.

Bitfinex rimane offline

Al momento in cui scriviamo, Bitfinex è ancora offline, ma il messaggio che annuncia l'attacco informatico è ancora visibile agli utenti.

Le dichiarazioni di Bitfines suggeriscono che l'azienda sta cercando di rendere inizialmente il sito online in modo che gli utenti possano controllare i propri saldi e verificare se i loro conti sono stati svuotati.

Ciò che T sappiamo

Di chi è la colpa?

Data la quantità di denaro in gioco, molti nella comunità hanno iniziato a cercare un capro espiatorio.

ONE obiettivo ovvio è stato Bitfinex stesso, che era in possesso di due delle tre chiavi private necessarie per i fondi persi dagli account multi-firma. Altri hanno messo in dubbio se anche le debolezze del modello di BitGo siano state esposte nell'incidente.

Ieri, BitGo è intervenuta sui social media per dichiarare che un'indagine interna non ha portato alla luce alcuna prova di unviolazione del serverdalla loro parte.

Tuttavia, nonostante le rassicurazioni, alcuni osservatori hanno accusato il servizio di aver "firmato alla cieca" il ritiro di quasi 120.000 BTC e si sono chiesti perché non fossero state prese contromisure nel caso di un movimento di fondi di tale entità.

Con volumi di transazioni in 30 giorni appena superiori a 600.000 BTC, l'attacco hacker ha interessato circa un sesto delle dimensioni degli ordini mensili dell'exchange.

Quando saranno accessibili i fondi fiat?

ONE domanda ricorrente tra i clienti è lo stato dei depositi non denominati in Bitcoin. Da quando l'hack è stato rivelato per la prima volta, Bitfinex ha dichiarato che solo i suoi possedimenti in Bitcoin sono stati interessati.

Molti clienti stanno ora utilizzando i social media per chiedere quando potranno accedere a quei fondi o prelevarli.

Tuttavia, le risposte potrebbero arrivare presto. Il rappresentante Zane Tackett, che ha risposto alle domande tramite i social mediada quando l'incidente è venuto alla luce per la prima volta, ha affermato che saranno disponibili ulteriori aggiornamenti.

Sono stati interessati anche altri exchange?

Altri osservatori del mercato si sono QUICK chiesti se l'interruzione avrebbe potuto causare complicazioni in altri exchange che avrebbero potuto utilizzare Bitfinex come fonte di liquidità.

È noto che Bitfinex offriva un'API e che ONE tempo veniva utilizzata dagli exchange, anche se i Mercati di destinazione principali sembravano essere broker e trader.

Un problema del genere è stato esposto da un hack a Bitstamp ininizio 2015, quando gli exchange, i commercianti e i fornitori di sportelli bancomat collegati all'exchange hanno subito una notevole interruzione.

Al momento in cui scriviamo, non è chiaro se siano stati interessati anche altri exchange più piccoli; gli exchange più piccoli contattati da CoinDesk non hanno segnalato interruzioni.

Tuttavia, in dichiarazioni rilasciate a CoinDesk, gli exchange Kraken e Bitstamp hanno indicato che i loro approcci all'implementazione Tecnologie multisig di BitGo differivano da quello di Bitfinex.

"Per ora posso già dire che l'implementazione della Tecnologie MultiSig di BitGo da parte di Bitstamp è fondamentalmente diversa da ONE di Bitfinex", ha detto a CoinDesk Vasja Zupan, responsabile dello sviluppo aziendale di Bitstamp.

In una e-mail, il CEO di Kraken, Jesse Powell, ha affermato che, pur T potendo fornire dettagli sulle misure di sicurezza dell'exchange, ha osservato che "siamo fiduciosi nella nostra configurazione" alla luce della violazione di Bitfinex.

Il modello di business di BitGo è a rischio?

Che BitGo venga ritenuta colpevole o meno, potrebbe perdere la battaglia Opinioni pubblica.

Alcune fonti suggeriscono che il modello di business di BitGo si basava principalmente sulla fatturazione dei servizi ai clienti aziendali e che gli exchange Bitcoin erano il mercato di riferimento principale dell'azienda.

ONE importante rappresentante di una borsa ha affermato che l'incidente ha sollevato problemi con il modello di sicurezza multi-sig e che l'ulteriore implementazione sarebbe stata probabilmente ritardata a causa della violazione.

Tuttavia, le dichiarazioni degli exchange sulla fattibilità delle loro implementazioni BitGo suggeriscono che almeno alcuni dei clienti del servizio T hanno intenzione di apportare modifiche, almeno per ora.

La colpa è della CFTC?

Bitfinex ha raggiunto un accordo con la Commodity Futures Trading Commission (CFTC) degli Stati Uniti all'inizio di quest'anno per presunte violazioni commerciali, pagando unTransazione da $ 75.000senza ammettere né negare le accuse.

La questione, ha affermato la CFTC all'epoca, era come l'exchange deteneva il controllo delle chiavi private Bitcoin legate ai fondi degli utenti connessi al trading finanziato. Il punto di vista dell'agenzia era che questi bitcoin T venivano effettivamente "consegnati" in seguito all'acquisto, ma piuttosto rimanevano sotto il controllo di Bitfinex.

Dopo l'attacco informatico, alcuni criticiha indicato quella linguanell'accordo della CFTC, in quanto ha creato le condizioni ideali per il furto, impedendo a Bitfinex di utilizzare sistemi di cold storage per i fondi dei clienti.

Il gruppo di difesa Coin Center, tuttavia,spostato per respingere l'affermazione che la colpa fosse della CFTC, sostenendo che il multi-sig è ONE dei tanti approcci di sicurezza e, come altri, è soggetto a vulnerabilità o guasti.

Anche i materiali stampa dell'anno scorso indicano che il rapporto tra Bitfinex e BitGo è precedente all'indagine della CFTC.

Immagine tramiteImmagine

Dichiarazione informativa:CoinDesk è una sussidiaria di Digital Currency Group, che detiene una quota di proprietà di BitGo.