Хакеры украли 1,2 миллиона долларов в биткоинах из Inputs.io, предположительно безопасного сервиса кошелька

ОБНОВЛЕНИЕ (8 ноября, 13:06 GMT):

В телефонном интервью сАвстралийское радиошоу AMTradefortress ответил на заявления, что кража была «делом рук своих», хотя он и настаивал, что T будет сообщать о краже в полицию, поскольку биткоины невозможно отследить и вычислить виновника будет невозможно.

На вопрос о своем возрасте Трейдфортресс ответил изданию: «Мне больше 18, но не намного больше».

Публичная личность Tradefortresses до сих пор остается неизвестной, однако его репутация на Bitcointalk, похоже,сомнительный, по крайней мере, сдва участники, утверждающие, что были мошеннический·за то, что он не выполнил проекты по кодированию, за которые ему уже заплатили. Он сказал, что хочет сохранить свою анонимность, поскольку теперь он опасается за свою безопасность в свете недавнего ограбления.

Tradefortress также управляет coinchat.com и coinlenders.com.

---------------------------------------

Tradefortress, разработчик веб-кошелька Bitcoin Inputs.io, сегодня опубликовал заявление на своем сайте после того, как был вынужден закрыть его из-за крупного инцидента с взломом, в котором говорится:

«Я знаю, что это ничего T значит, но мне жаль, и сказать, что мне очень грустно из-за того, что это произошло, — это ничего не сказать».

Входы.io

, который должен был стать высокозащищенным веб-кошельком для Bitcoin , по-видимому, был взломан 23 октября, когда воры украли биткойны на сумму более 1,2 млн долларов по текущему курсу БПИцены. Заявление, опубликованное сегодня утром, продолжается:

«Два взлома на общую сумму около 4100 BTC оставили Inputs.io неспособным выплатить все балансы пользователей. Злоумышленник скомпрометировал учетную запись хостинга, взломав учетные записи электронной почты (некоторые из них были очень старыми и без привязанных номеров телефонов, поэтому их было легко сбросить). Злоумышленник смог обойти 2FA из-за уязвимости на стороне хоста сервера.





«Доступ к базе данных также был получен, однако пароли надежно хранятся и хэшируются на клиенте. «Если вы сохранили более 1 BTC, отправьте электронное письмо на адрес support@inputs.io с адресом Bitcoin (предпочтительно автономный, открытый исходный код, легкий/SPV-кошелек, например Мультибит или Электрум). Используйте тот же адрес электронной почты, который вы используете для входов. Пожалуйста, T храните биткоины на подключенном к интернету устройстве, независимо от того, принадлежит ли оно вам или сервису.



«Я знаю, что это ничего T значит, но мне жаль, и сказать, что мне очень грустно из-за того, что это произошло, — это ничего не сказать».

В соответствии с Новости хакеров, так же как и вКража битпола, в ходе которого было украдено 24 000 BTC , биткоины были украдены из «HOT кошелька» сайта — онлайн-кошелька, который должен работать для обработки живых выводов. Однако, похоже, что Inputs.io хранит большую часть, если не все, своих монет онлайн, тогда как другие сервисы часто KEEP до 80% в офлайне.

Inputs.io сообщает, что, хотя взлом произошел 23 октября, даже вкладчики, сделавшие депозиты после этой даты, не находятся в безопасности, поскольку другие пользователи смогли вывести средства из общего кошелька.

В отличие от такой услуги, какBlockchain.info(который, хотя и считается в целом безопасным, все жевозникла проблема безопасностиеще в августе) Inputs.io — это общий кошелек, который управляет балансом своих пользователей и их закрытыми ключами, предоставляя им полный доступ ко всем хранящимся у них биткоинам.

Доступ к аккаунту Blockchain.info защищен идентификатором/псевдонимом, комбинацией пароля и двухфакторной аутентификацией и обычно считается безопасным. Однако, как и в случае с любой Технологии, нет ничего надежного. По словам пользователя форума Bitcoin Talk 'masteroflove':

«Если домен blockchain.info взломан, хакер может запустить вредоносный JavaScript, который запишет ваши пароли и сможет получить доступ ко всем вашим биткоинам. Вот почему рекомендуется использовать блокчейн-приложение Chrome или Firefox. Но даже это T гарантирует 100%-ной защиты, поскольку злоумышленник, получивший доступ к учетным данным блокчейна, может запустить вредоносное обновление, которое автоматически обновит приложения вашего браузера».

Теперь публично задаются вопросы о главном разработчике Inputs.io Tradefortress, который, хотя и не так широко известен широкой публике, утверждает, что глубоко разбирается в тонкостях процедур безопасности Bitcoin кошельков.

Когда CoinDesk обратился за комментарием к Tradefortress, он сообщил нам, что «злоумышленник смог взломать старые учетные записи электронной почты, которые можно было легко сбросить, поскольку к ним T были привязаны номера телефонов. Взлом ONE старой учетной записи электронной почты привел к взлому другой, что в конечном итоге позволило им сбросить пароль для учетной записи хостинга и получить доступ к оболочке после обхода двухфакторной аутентификации на стороне хоста».

Он продолжил: «Мы T используем шифрование на стороне клиента; это вряд ли надежно и дает людям ложное чувство безопасности».

На вопрос о том, какую сумму Inputs.io сможет возместить пользователям, он ответил несколько туманно: «[Мы сможем вернуть] до 100%. Для Inputs это зависит исключительно от суммы. 1 BTC по текущей скользящей шкале составит 74%, 2 BTC — 65%... Эта цифра не окончательная, и если у нас останутся монеты, мы сможем вернуть больше».

Другими словами: если у вас на входах было менее 1 BTC , вам следует вернуть их, в противном случае будьте готовы понести убытки.