8 milhões de hacks da Vericoin levam a um hard fork para recuperar fundos

A plataforma de câmbio digital MintPal sofreu um ataque hacker bem-sucedido que resultou na perda de milhões de vericoins de sua carteira HOT .

O ataque de 13 de julho teve como alvo uma vulnerabilidade no sistema de retirada do site. O hacker, de acordo com uma declaração oficial daAmigo da hortelã, conseguiu contornar os controles internos e autorizar uma Request de retirada do conteúdo do vericoína carteira.

Notavelmente, o Bitcoin do site e Litecoincarteiras também foram alvos daqueles por trás do ataque. No entanto, devido aos procedimentos de armazenamento a frio existentes do MintPal para essas carteiras, os saldos dos usuários não foram afetados durante o incidente.

Este resultado é potencialmente encorajador, já que vulnerabilidades de carteiras HOT têm sido um problema persistente entre as principais bolsas de Bitcoin neste ano, com a extinta bolsa de Bitcoin Mt. Gox, sediada no Japão, fornecendo talvez o exemplo mais notável de como carteiras conectadas podem ser alvos de hackers.

MintPal é uma bolsa de moeda digital alternativa registrada no Reino Unido que negocia Bitcoin, Litecoin e moedas alternativas populares, como vericoin e moeda escura.

A resposta controversa da Vericoin

A violação resultou na perda de aproximadamente 8 milhões de vericoins (VRC), ou cerca de 30% do total de moedas existentes, disse um membro da equipe de desenvolvimento do vericoin ao CoinDesk.

Dada a extensão do dano, a equipe de desenvolvimento da vericoin optou por fazer um hard fork na blockchain da moeda para reverter a transação de roubo. Isso foi feito, eles disseram, para evitar a perda de aproximadamente US$ 2 milhões em fundos de investidores e impedir que um agente fraudulento detivesse 30% da capacidade da rede proof-of-stake da moeda.

O fork agora está completo, com novas carteiras disponíveis para download, disse a equipe de desenvolvimento da vericoin ao CoinDesk.

Em uma declaração, a equipe do MintPal prometeu recuperar todas as perdas do ataque, incluindo aquelas de outras exchanges que foram impactadas pelo evento, dizendo:

"A maior implicação da reversão é para as várias bolsas que aceitaram depósitos de clientes e então tiveram negociações executadas nesses depósitos. Nós nos comprometemos com nossos clientes e com todas as bolsas que cobriremos quaisquer perdas enfrentadas como resultado da reversão."

A CoinDesk entrou em contato com a MintPal para comentar, mas não recebeu uma resposta imediata.

Anatomia de um ataque de troca

O ataque ocorreu por volta das 7h BST e utilizou umInjeção de SQLpara inicializar a retirada da carteira. Seis horas depois, a equipe de desenvolvimento do MintPal fez contato com a equipe da vericoin, após o que uma solução - finalmente um hard fork - foi buscada e alcançada.

De acordo com o MintPal, apenas a carteira vericoin foi afetada durante o ataque. Isso inclui o banco de dados contendo informações sensíveis de clientes e senhas.

A empresa declarou que uma falha em proteger os saldos de vericoin dos clientes em armazenamento refrigerado levou à vulnerabilidade, dizendo:

"Tínhamos configurado um armazenamento a frio para o VRC, porém, neste caso, devido a um erro pelo qual somente nós podemos ser responsabilizados, transferimos muito menos moedas do que o necessário, resultando em uma grande proporção de moedas deixadas na carteira HOT ."

O MintPal acrescentou que os procedimentos da empresa foram alterados para incluir protocolos de armazenamento a frio mais rigorosos, bem como a instituição de autorizações de retirada manual até que o sistema seja limpo de todas as vulnerabilidades.

Moedas roubadas devolvidas

Uma tentativa inicial de reverter a cadeia de blocos para reverter o roubo de vericoin foi lançada horas após o ataque, o que envolveu a recriação da cadeia de blocos original sem a retirada do MintPal.

No entanto, de acordo com o desenvolvedor da vericoin, Patrick Nosker, clientes mais antigos que estavam transmitindo a transação fizeram com que a rede a aprovasse erroneamente, permitindo que o hacker recebesse o VRC de 8m.

Um segundo hard fork foi conduzido em 14 de julho, uma operação que também envolveu a criação de uma transação que moveu o VRC de 8m para um novo local de carteira. Como resultado, os blocos contendo as transações de roubo ficaram órfãos e permaneceram não aceitos pela rede.

Nosker disse à CoinDesk que a mudança era necessária para proteger os investidores. No entanto, ele reconheceu a controvérsia por trás da mudança e a frustração entre os afetados, dizendo:

“A comunidade está claramente dividida. Alguns acham que somos bons rapazes por ajudar os usuários a KEEP suas moedas roubadas. Outros acham que somos maus por 'abusar' de nossos direitos de desenvolvimento para mudar o blockchain. Acreditamos que estamos certos, pois menos de US$ 4.000 em VRC foram enviados entre o momento do roubo e o hard fork, enquanto mais de US$ 2 milhões em VRC teriam sido enviados de outra forma."

Ele acrescentou: "Também T queríamos um indivíduo com capacidade de ataque de 51%".

No momento da impressão, o MintPal ainda não havia reativado seu mercado de vericoin. No entanto, um dos administradores do site comentou que o foco agora é identificar clientes que sofreram perdas.

Imagem de hackervia Shutterstock