Анализ: хакер Bitstamp едва не украл еще 1,75 миллиона долларов

По данным анализа блокчейна, проведенного независимым исследователем, во время недавнего взлома Bitstamp едва избежал потери дополнительных 1,75 млн долларов в Bitcoin .

В последние часы ограбления на сумму 5,1 млн долларов, которое произошло на бирже пять дней назад, 1,75 млн долларов в Bitcoin были быстро переведены на адресАналитик Дэнно Феррин обнаружил, что предположительно Bitstamp использует его для холодного хранения.

CoinDesk может подтвердить, что рассматриваемый адрес контролировался Bitstamp еще 2 декабря. Генеральный директор фирмы Нейц Кодрич заявил в то время, что адрес использовался во время аудита. Хотя генеральный директор сказал, что данные должны быть обнародованы на неделе 8 декабря, биржа T публиковала никаких результатов аудита с тех пор. 24 мая.

Феррин, который публикует свой анализ блокчейна в своем блогеCryptoCrumb, сказал, что спасенные средства, вероятно, поступили с сотен адресов, которые биржа использовала для приема клиентских депозитов. Эти адреса, по всей видимости, формируют «операционный кошелек», который, по словам Bitstamp,скомпрометирован4 января, что привело к краже 5,1 млн долларов.

Согласно анализу Феррина, данные транзакций в блокчейне связывают средства, поступающие из операционного кошелька Bitstamp, с «аудиторским» адресом Bitstamp, а такжедругой адрес который, как широко предполагается, контролируется вором.

Если Феррин прав, то общая сумма средств Bitstamp в размере 6,6 млн долларов США находилась под угрозой кражи, хотя бирже удалось спасти около четверти средств в самый последний момент.

«Могло быть и хуже», — написал Феррин.

Шквал транзакций

Взлом, по-видимому, начался рано утром 4 января, когда на кражу было переведено 3100 BTC . Средства поступали стабильно в течение следующих 16 часов. К 4 часам вечера на адресе было более 6000 монет.

Затем приток ускорился. В конце 4 января и в первые часы следующего дня в кражу кошелька было помещено еще 12 000 монет.

В этот момент Bitstamp, по-видимому, начал выводить средства из своего HOT кошелька, сделав его недоступным для хакеров.

Спасенные средства были переведены на адрес холодного хранения в результате серии переводов, которые заняли около 30 минут и в результате которых было зачислено 4200 BTC .

На адрес биржи поступило две транзакции по 1000 BTC в 00:54 5 января. Примерно за 15 минут до этого он уже принял 22 перевода по 100 BTC. Крупные переводы продолжались до 01:06, когда были депонированы еще четыре куска по 100 BTC .

В общем и целом,адрес холодного хранения 5 января было получено в общей сложности 6478 BTC на сумму около 1,8 млн долларов. адрес кражиНа пике своего развития он насчитывал 18 977 биткоинов.

Гонка за деньгами

ONE из объяснений произошедшего 4 и 5 января является то, что биржа вступила в гонку со злоумышленником за вывод средств из HOT кошелька.

По словам Феррина, вор, по всей видимости, имел доступ ко всем адресам в HOT кошельке Bitstamp, поскольку некоторые транзакции показывают, что краже подвергался кошелек, генерирующий «изменить адрес', к которому позже получил доступ Bitstamp.

ONE из примеров, представленный в блоге Феррина, показывает, что 32 BTC были отправлены на адрес кражи. Эта транзакция сгенерировала адрес сдачи, содержащий около 0,64 BTC. Примерно через 40 минут этот адрес сдачи был опустошен, став частью транзакции на общую сумму 10 BTC на адрес холодного хранения Bitstamp.

Таким образом, кошелек вора создал адрес для сдачи, который также был доступен Bitstamp. Это говорит о том, что вор получил контроль над внутренними системами Bitstamp, управляющими его HOT кошельком, а не только над закрытыми ключами этого кошелька, сказал Феррин, добавив:

«Они знали, что соревнуются друг с другом за то, что осталось на столе».

Анализ «имеет смысл»

Феррин написал программное обеспечение под названиемНумисайтдля проведения анализа блокчейна в качестве хобби. Его основная работа — в команде по развертыванию программного обеспечения в гиганте корпоративного программного обеспечения Oracle. Он говорит, что намерен вскоре выпустить свое программное обеспечение.

ONE из исследователей безопасности, ознакомившийся с анализом Феррина, согласен с его выводами.

Кристов ATLAS, который начал Открытый проект Политика конфиденциальности Bitcoin, сказал, что последовательность транзакций соответствует представлению о том, что Bitstamp спас около четверти средств, находившихся под угрозой. Он добавляет, что доказательства остаются неубедительными относительно того, как именно злоумышленник взломал системы Bitstamp.

«Хронология действий Bitstamp по выводу монет в холодное хранилище в последние часы атаки имеет смысл», — сказал ATLAS .

Необъяснимые детали

Однако некоторые другие подробности транзакций атаки, опубликованные в блокчейне, продолжают озадачивать аналитиков, таких как Феррин.

К ряду транзакций в краже кошелька были прикреплены высокие майнерские сборы до 1 BTC . Такие высокие сборы T увеличили бы приоритет транзакции во многих случаях, поскольку суммы транзакций были уже достаточно большими, чтобы предоставить ей статус высокого приоритета среди майнеров.

Шахтеры ценятприоритет транзакциивзвесив его размер и возраст, прежде чем принимать во внимание комиссию за транзакцию.

Другая проблема заключается в том, что, по-видимому, продолжается деятельность и кража из HOT кошелька Bitstamp. Еще 8 января монеты продолжали FLOW в кражу, с того, что Феррин и другие предполагают, являются адресами, на которые клиенты Bitstamp вносят средства.

По словам Феррина, решение вора перевести все незаконно полученные средства на ONE адрес также вызывает ONE.

Направление такого большого количества монет на ONE адрес стимулирует проверку блокчейна. Это также может затруднить трату монет вором без обнаружения.

«Отправка всего этого на ONE адрес была огромной ошибкой», — сказал Феррин. «[Если бы монеты были проданы на бирже], их бы попросили объяснить это. Они бы оставили след».

Украденные монеты в пути

Украденные монеты теперь в движении. Первоначальный адрес кражи был в основном опустошен, осталось всего 90,6 BTC . Средства были распределены по десяткам новых адресов – 47 по последним подсчетам Феррина 7 января.

Небольшое количество монет, по всей видимости, было отправлено в миксер монет, что затруднит будущим покупателям монет отслеживание их связи с кражей Bitstamp.

Но где бы ни оказались украденные монеты, транзакции, связанные с кражей, теперь останутся общедоступными в блокчейне.

«Раньше в задымленных комнатах происходили события, о которых вы бы никогда не узнали, а теперь блокчейн дает возможность вернуться в прошлое и доказать, что они происходили в обратном порядке. Это как солнечный свет, являющийся лучшим дезинфицирующим средством», — сказал Феррин.

Исправление: Феррин может выпустить свое программное обеспечение, но KEEP исходный код в собственности. В более ранней версии этой статьи ошибочно говорилось, что он сделает свое программное обеспечение открытым исходным кодом.