Hackers roubam US$ 1,2 milhão em bitcoins do Inputs.io, um serviço de carteira supostamente seguro

ATUALIZAÇÃO (8 de novembro, 13:06 GMT):

Em entrevista por telefone comPrograma de rádio AM da AustráliaA Tradefortress respondeu aos questionamentos de que o roubo foi "um trabalho interno", embora tenha insistido que T denunciaria o roubo à polícia porque os bitcoins são irrastreáveis ​​e seria impossível rastrear o culpado.

Quando perguntado sobre sua idade, Tradefortress disse à publicação: "Tenho mais de 18 anos, mas não muito mais."

A identidade pública de Tradefortresses ainda permanece desconhecida, no entanto sua reputação no Bitcointalk parece serquestionável, com pelo menosdoismembros que alegam ter sidoenganadopor ele por não entregar projetos de codificação pelos quais já havia sido pago. Ele disse que deseja manter seu anonimato, pois agora teme por sua segurança em vista deste assalto recente.

A Tradefortress também administra o coinchat.com e o coinlenders.com.

----------------------------------------

A Tradefortress, desenvolvedora por trás da carteira virtual de Bitcoin Inputs.io, divulgou uma declaração em seu site hoje, após ser forçada a fechá-lo após um grande incidente de hacking, dizendo:

"Sei que isso T significa muito, mas sinto muito, e dizer que estou muito triste que isso tenha acontecido é pouco."

Entradas.io

, que deveria ser uma carteira virtual de Bitcoin de alta segurança, foi aparentemente hackeada no dia 23 de outubro, quando ladrões roubaram bitcoins no valor de mais de US$ 1,2 milhão no momento. BPIpreços. A declaração, publicada esta manhã, continua:

“Dois hacks totalizando cerca de 4100 BTC deixaram a Inputs.io incapaz de pagar todos os saldos de usuários. O invasor comprometeu a conta de hospedagem por meio de contas de e-mail comprometedoras (algumas muito antigas e sem números de telefone anexados, então foi fácil redefinir). O invasor conseguiu ignorar o 2FA devido a uma falha no lado do host do servidor.





"O acesso ao banco de dados também foi obtido, no entanto, as senhas são armazenadas com segurança e são criptografadas no cliente. "Se você armazenou mais de 1 BTC, envie um e-mail para suporte@inputs.io com um endereço Bitcoin (de preferência, uma carteira light/SPV offline de código aberto como Multibit ou Eletro). Use o mesmo e-mail que você está usando no Inputs. Por favor, T armazene bitcoins em um dispositivo conectado à internet, independentemente de ser seu ou de um serviço.



"Sei que isso T significa muito, mas sinto muito, e dizer que estou muito triste que isso tenha acontecido é pouco."

De acordo comNotícias Hacker, assim como noRoubo de Bitfloor, em que 24.000 BTC foram roubados, os bitcoins foram roubados da 'carteira HOT ' do site - uma carteira online que tem que operar para processar retiradas ao vivo. No entanto, parece que a Inputs.io estava mantendo a maioria, se não todas as suas moedas online, enquanto outros serviços geralmente KEEP até 80% offline.

O Inputs.io diz que, embora o hack tenha ocorrido em 23 de outubro, mesmo os depositantes que fizeram depósitos após essa data não estão seguros, pois outros usuários conseguiram fazer saques da carteira compartilhada.

Ao contrário de um serviço comoBlockchain.info(que, embora geralmente considerado seguro, aindasofreu um problema de segurançaem agosto), Inputs.io é uma carteira compartilhada que gerencia o saldo de seus usuários e suas chaves privadas, dando-lhes acesso total a todos os bitcoins armazenados com eles.

O acesso à conta Blockchain.info é protegido por um identificador/alias, combinação de senha e autenticação de dois fatores e é geralmente considerado seguro. No entanto, como acontece com qualquer Tecnologia, nada é infalível. De acordo com o usuário do fórum Bitcoin Talk 'masteroflove':

“Se o domínio blockchain.info for comprometido, o hacker pode servir JavaScript malicioso que registrará suas senhas e poderá obter acesso a todos os seus bitcoins. É por isso que é recomendado usar o aplicativo blockchain do Chrome ou Firefox. Mas mesmo isso T é 100% infalível, pois um invasor que obtém acesso às credenciais do blockchain pode enviar uma atualização maliciosa que será atualizada automaticamente nos aplicativos do seu navegador.”

Agora, perguntas estão sendo feitas publicamente sobre o principal desenvolvedor do Inputs.io, Tradefortress, que, embora ainda não seja amplamente conhecido do público, afirma ter um profundo conhecimento das complexidades dos procedimentos de segurança para carteiras de Bitcoin .

Quando a CoinDesk abordou a Tradefortress para comentar, ele nos informou que "o invasor conseguiu comprometer contas de e-mail antigas que foram facilmente redefinidas, pois T tinham números de telefone anexados. O comprometimento de uma conta de e-mail antiga levou ao comprometimento de outra, eventualmente permitindo que eles redefinissem a senha da conta de hospedagem e obtivessem acesso ao shell após ignorar a autenticação de dois fatores no lado do host."

Ele continuou: “T usamos criptografia do lado do cliente; isso não é infalível e dá às pessoas uma falsa sensação de segurança”.

Quando questionado sobre quanto a Inputs.io poderá reembolsar os usuários, ele respondeu de forma um tanto obscura: "[Poderemos reembolsar] até 100%. Para a Inputs, é baseado somente na quantia. 1 BTC na escala móvel atual seria 74%, 2 BTC 65%... Este valor não é final, e se tivermos moedas sobrando, poderemos reembolsar mais."

Em outras palavras: se você tinha menos de 1 BTC em Inputs, você deveria recuperá-lo, caso contrário, esteja preparado para ter um corte.