Хакери викрали біткойни на 1,2 мільйона доларів із Inputs.io, нібито безпечного сервісу гаманців

ОНОВЛЕННЯ (8 листопада, 13:06 GMT):

У телефонній розмові з Австралійська радіостанція AMTradefortress відповів на виклики, що крадіжка була «внутрішньою роботою», хоча він наполягав, що T буде повідомляти про крадіжку в поліцію, оскільки біткойни неможливо відстежити, і винуватця буде неможливо відстежити.

На запитання про його вік Tradefortress відповів виданню: «Мені більше 18, але не набагато».

Публічна ідентичність Tradefortresses досі залишається невідомою, однак його репутація на Bitcointalk, здається, такою сумнівний, принаймні два члени, які стверджують, що були шахрайство ним за те, що він не виконав проекти програмування, за які йому вже заплатили. Він сказав, що бажає зберегти свою анонімність, оскільки тепер побоюється за свою безпеку у світлі цього недавнього пограбування.

Tradefortress також керує coinchat.com, а також coinlenders.com.

----------------------------------------------

Tradefortress, розробник Bitcoin веб-гаманця Inputs.io, опублікував заяву на своєму веб-сайті після того, як був змушений закрити його після великого хакерського інциденту, сказавши:

«Я знаю, що це мало що означає, але мені шкода, і сказати, що я дуже засмучений, що це сталося, — це нічого не сказати».

Inputs.io

, який мав бути веб-гаманцем для Bitcoin із високим рівнем безпеки, очевидно, було зламано 23 жовтня, коли злодії викрали біткойни на поточну суму понад 1,2 мільйона доларів США. BPI ціни. Заява, опублікована сьогодні вранці продовжується:

"Два хаки на загальну суму близько 4100 BTC призвели до того, що Inputs.io не в змозі оплатити всі баланси користувачів. Зловмисник скомпрометував обліковий запис хостингу через компрометацію облікових записів електронної пошти (деякі дуже старі та без приєднаних номерів телефонів, тому їх було легко скинути). Зловмисник зміг обійти 2FA через недолік на стороні хосту сервера.





«Доступ до бази даних також отримано, однак паролі надійно зберігаються та хешуються на клієнті. «Якщо ви зберегли більше 1 BTC, надішліть електронний лист на support@inputs.io з Bitcoin адресою (бажано офлайн-гаманця з відкритим вихідним кодом або SPV-гаманця). Багатобітний або Електрум). Використовуйте ту саму електронну адресу, яку використовуєте для Inputs. Будь ласка, T зберігайте біткойни на пристрої, підключеному до Інтернету, незалежно від того, чи є він вашим власним чи сервісним.



«Я знаю, що це мало що означає, але мені шкода, і сказати, що я дуже засмучений тим, що це сталося, - це нічого не сказати».

Відповідно до Хакерські новини, як і в Крадіжка Bitfloor, під час якого було вкрадено 24 000 BTC , біткойни були викрадені з «HOT гаманця» веб-сайту – онлайн-гаманця, який повинен працювати для обробки зняття коштів у реальному часі. Однак здається, що Inputs.io зберігав більшість, якщо не всі свої монети в Інтернеті, тоді як інші сервіси часто KEEP до 80% офлайн.

Inputs.io каже, що хоча злом стався 23 жовтня, навіть вкладники, які зробили депозити після цієї дати, не в безпеці, оскільки інші користувачі могли зняти гроші зі спільного гаманця.

На відміну від такого сервісу, як Blockchain.info (що, хоча загалом вважається безпечним, все ж виникла проблема безпеки ще в серпні), Inputs.io — це спільний гаманець, який керує балансом своїх користувачів і їхніми приватними ключами, надаючи їм повний доступ до всіх біткойнів, які зберігаються в них.

Доступ до облікового запису Blockchain.info захищено за допомогою ідентифікатора/псевдоніма, комбінації паролів і двофакторної автентифікації, і зазвичай вважається безпечним. Однак, як і з будь-якою Технології, немає нічого надійного. За словами користувача форуму Bitcoin Talk 'masteroflove':

"Якщо домен blockchain.info зламано, хакер може використовувати шкідливий JavaScript, який записуватиме ваші паролі та матиме доступ до всіх ваших біткойнів. Ось чому ми рекомендуємо використовувати блокчейн-додаток Chrome або Firefox. Але навіть це T є на 100% надійним, оскільки зловмисник, який отримує доступ до облікових даних блокчейну, може натиснути шкідливе оновлення, яке автоматично оновлюватиметься у програмах вашого браузера".

Зараз публічно ставлять запитання про головного розробника Inputs.io, Tradefortress, який, хоча й досі не є широко відомим, стверджує, що має глибоке розуміння складності процедур безпеки для Bitcoin -гаманців.

Коли CoinDesk звернувся до Tradefortress за коментарем, він повідомив нас, що «зловмисник зміг скомпрометувати старі облікові записи електронної пошти, які легко скинути, оскільки вони T мали прикріплених номерів телефонів. Компрометація ONE старого облікового запису електронної пошти призвела до компрометації іншого, що зрештою дозволило їм скинути пароль для облікового запису хостингу та отримати доступ до оболонки після обходу двофакторної автентифікації на стороні хоста».

Він продовжив: «Ми T використовуємо шифрування на стороні клієнта; це навряд чи надійно та дає людям помилкове відчуття безпеки».

Коли його запитали про те, скільки Inputs.io зможе відшкодувати користувачам, він відповів дещо незрозуміло: «[Ми зможемо відшкодувати] до 100%. Для Inputs це залежить виключно від суми. 1 BTC за поточною ковзною шкалою становитиме 74%, 2 BTC 65%... Ця цифра не остаточна, і якщо у нас залишаться монети, ми зможемо відшкодувати більше».

Іншими словами: якщо у вас було менше 1 BTC на Inputs, ви повинні повернути його, інакше будьте готові до стрижки.