Злом 8 мільйонів Vericoin спонукає до хардфорку для відновлення коштів

Платформа обміну цифрових валют MintPal зазнала успішної хакерської атаки, яка призвела до втрати мільйонів vericoins з її HOT гаманця.

Атака 13 липня була спрямована на вразливість у системі виведення коштів із сайту. Хакер, згідно з офіційною заявою від MintPal, вдалося обійти внутрішні засоби контролю та дозволити Request на вилучення вмісту vericoin гаманець.

Зокрема, Bitcoin сайту та Litecoin гаманці також стали мішенню тих, хто стоїть за атакою. Однак завдяки існуючим процедурам холодного зберігання MintPal для цих гаманців інцидент не вплинув на баланси користувачів.

Цей результат є потенційно обнадійливим, оскільки вразливості HOT гаманців були постійною проблемою серед основних бірж Bitcoin цього року, причому неіснуюча японська біржа Bitcoin Mt.Gox є, мабуть, найяскравішим прикладом того, як підключені гаманці можуть стати мішенню хакерів.

MintPal — альтернативна біржа цифрових валют, зареєстрована у Великій Британії, яка торгує Bitcoin, Litecoin та популярними альтернативними валютами, такими як vericoin та дарккойн.

Суперечлива відповідь Vericoin

Порушення призвело до втрати приблизно 8 мільйонів верікойнів (VRC), або близько 30% від загальної кількості існуючих монет, повідомив CoinDesk член команди розробників верікойнів.

Враховуючи масштаби збитку, команда розробників vericoin вирішила зробити жорсткий форк ланцюга блоків монети, щоб скасувати транзакцію крадіжки. За їхніми словами, це було зроблено для того, щоб запобігти втраті приблизно 2 мільйонів доларів США коштів інвестора та зупинити шахраїв, які володіли 30% ємності мережі монети proof-of-stake.

Команда розробників vericoin повідомила CoinDesk про те, що форк завершено, нові гаманці тепер доступні для завантаження.

У своїй заяві команда MintPal пообіцяла відшкодувати всі збитки від атаки, включно з тими з інших бірж, які постраждали від цієї події, зазначивши:

«Найбільші наслідки відкату стосуються різних бірж, які приймали клієнтські депозити, а потім здійснювали операції з цими депозитами. Ми зобов’язалися перед нашими клієнтами та всіма біржами покрити будь-які збитки, які можуть виникнути в результаті відкату».

CoinDesk звернувся до MintPal за коментарем, але не отримав негайної відповіді.

Анатомія обмінної атаки

Напад стався приблизно о 7 годині ранку за київським стандартним часом SQL ін'єкція щоб ініціалізувати виведення з гаманця. Через шість годин команда розробників MintPal зв’язалася з командою vericoin, після чого було знайдено рішення – зрештою хардфорк – і досягнуто.

За даними MintPal, під час атаки постраждав лише гаманець vericoin. Це включає базу даних, що містить конфіденційну інформацію про клієнтів і паролі.

Компанія заявила, що нездатність захистити баланс клієнтів vericoin у холодному сховищі призвела до вразливості, сказавши:

«У нас було налаштування холодного сховища для VRC, однак у цьому випадку через помилку, за яку можемо нести відповідальність лише ми, ми передали набагато менше монет, ніж було потрібно, в результаті чого значна частка монет залишилася в HOT гаманці».

MintPal додав, що процедури компанії були змінені, щоб включити більш суворі протоколи холодного зберігання, а також установу дозволів на зняття вручну, доки система не буде очищена від усіх вразливостей.

Викрадені монети повернуто

Початкова спроба відкотити ланцюжок блоків, щоб скасувати крадіжку vericoin, була розпочата через кілька годин після атаки, яка передбачала відтворення оригінального ланцюга блоків без вилучення з MintPal.

Однак, за словами розробника vericoin Патріка Носкера, старі клієнти, які транслювали трансакцію, призвели до того, що мережа помилково схвалила її, що дозволило хакеру отримати 8-метровий VRC.

Другий хардфорк був проведений 14 липня, операція, яка також включала створення транзакції, яка перемістила 8-метровий VRC у нове місце гаманця. У результаті блоки, що містять транзакції крадіжки, втратили доступ до мережі й не приймалися.

Носкер сказав CoinDesk , що цей крок був необхідний для захисту інвесторів. Однак він визнав суперечки, що стоять за цим кроком, і розчарування серед постраждалих, сказавши:

"Спільнота чітко розділилася. Дехто вважає, що ми хороші хлопці, оскільки допомагаємо користувачам KEEP їхню вкрадену монету. Інші вважають, що ми погані, оскільки "зловживаємо" нашими правами розробників на зміну блокчейну. Ми віримо, що маємо рацію, оскільки VRC на суму менше 4000 доларів США було надіслано між моментом крадіжки та хардфорком, тоді як інакше було б надіслано понад 2 мільйони доларів VRC".

Він додав: «Ми також T хотіли, щоб ONE людина могла атакувати на 51%».

На момент преси MintPal ще не відновив свій ринок vericoin. Однак ONE із адміністраторів сайту зазначив, що зараз у центрі уваги – виявлення клієнтів, які зазнали збитків.

Зображення хакера через Shutterstock