Взлом Vericoin на 8 миллионов привел к хардфорку для восстановления средств

Платформа обмена цифровой валюты MintPal подверглась успешной хакерской атаке, в результате которой из ее HOT кошелька были украдены миллионы верикоинов.

Атака 13 июля была направлена на уязвимость в системе вывода средств сайта. Хакер, согласно официальному заявлениюMintPal, смог обойти внутренний контроль и разрешить Request на снятие средств с содержимого верикоин кошелек.

Примечательно, что Bitcoin -сайт и LitecoinКошельки также были целью тех, кто стоял за атакой. Однако благодаря существующим процедурам холодного хранения MintPal для этих кошельков, балансы пользователей не были затронуты во время инцидента.

Этот результат потенциально обнадеживает, поскольку уязвимости HOT кошельков стали постоянной проблемой среди крупных Bitcoin бирж в этом году, а несуществующая японская Bitcoin биржа Mt. Gox представляет собой, пожалуй, самый яркий пример того, как подключенные кошельки могут стать целью хакеров.

MintPal — это альтернативная цифровая валютная биржа, зарегистрированная в Великобритании, которая торгует Bitcoin, Litecoin и популярными альтернативными валютами, такими как верикоин и дарккойн.

Спорный ответ Vericoin

Член команды разработчиков Vericoin сообщил CoinDesk, что в результате взлома было потеряно около 8 миллионов верикоинов (VRC), или около 30% от общего числа существующих монет.

Учитывая масштаб ущерба, команда разработчиков Vericoin решила провести хард-форк блокчейна монеты, чтобы отменить транзакцию кражи. По их словам, это было сделано для того, чтобы предотвратить потерю примерно $2 млн средств инвесторов и не дать мошеннику завладеть 30% пропускной способности сети Proof-of-Stake монеты.

Команда разработчиков Vericoin сообщила CoinDesk, что форк уже завершен, и новые кошельки доступны для загрузки.

В своем заявлении команда MintPal пообещала возместить все убытки от атаки, включая убытки других бирж, пострадавших от этого события, заявив:

«Самые большие последствия отката коснутся различных бирж, которые принимали депозиты клиентов, а затем проводили сделки по этим депозитам. Мы взяли на себя обязательство перед нашими клиентами и всеми биржами, что покроем любые убытки, возникшие в результате отката».

CoinDesk обратился к MintPal за комментарием, но не получил немедленного ответа.

Анатомия обменной атаки

Атака произошла примерно в 7 утра по британскому летнему времени, и в ней использовалосьSQL-инъекциядля инициализации вывода средств с кошелька. Спустя шесть часов команда разработчиков MintPal связалась с командой Vericoin, после чего было найдено и достигнуто решение — в конечном итоге хард-форк.

По данным MintPal, во время атаки пострадал только кошелек Vericoin. Сюда входит база данных, содержащая конфиденциальную информацию клиентов и пароли.

Компания заявила, что уязвимость возникла из-за неспособности защитить остатки верикоинов клиентов в холодном хранилище:

«У нас была настроена система холодного хранения для VRC, однако в данном случае из-за ошибки, за которую можем нести ответственность только мы, мы перевели гораздо меньше монет, чем требовалось, в результате чего значительная часть монет осталась в HOT кошельке».

MintPal добавил, что процедуры компании были изменены и теперь включают более строгие протоколы холодного хранения, а также введение ручного разрешения на снятие средств до тех пор, пока система не будет очищена от всех уязвимостей.

Украденные монеты возвращены

Первая попытка откатить цепочку блоков, чтобы обратить вспять кражу верикоинов, была предпринята через несколько часов после атаки. Она включала воссоздание оригинальной цепочки блоков без выхода из MintPal.

Однако, по словам разработчика Vericoin Патрика Носкера, старые клиенты, транслировавшие транзакцию, привели к тому, что сеть ошибочно одобрила ее, что позволило хакеру получить 8 млн VRC.

Второй хардфорк был проведен 14 июля, операция, которая также включала создание транзакции, которая переместила 8 млн VRC в новое местоположение кошелька. В результате блоки, содержащие транзакции кражи, были потеряны и остались непринятыми сетью.

Носкер сказал CoinDesk , что этот шаг был необходим для защиты инвесторов. Однако он признал противоречия, стоящие за этим шагом, и разочарование среди пострадавших, сказав:

«Сообщество явно разделено. Некоторые считают, что мы хорошие ребята, помогая пользователям KEEP их украденные монеты. Другие считают, что мы плохие, потому что «злоупотребляем» нашими правами разработчика, чтобы изменить блокчейн. Мы считаем, что мы правы, поскольку между моментом кражи и хардфорком было отправлено менее 4000 долларов VRC, в то время как в противном случае было бы отправлено более 2 миллионов долларов VRC».

Он добавил: «Мы также T хотели, чтобы кто-то ONE обладал способностью атаковать 51%».

На момент публикации MintPal еще не возобновил работу своего рынка верикоинов. Однако ONE из администраторов сайта прокомментировал, что сейчас основное внимание уделяется выявлению клиентов, понесших убытки.

Изображение хакерачерез Shutterstock