Аналіз: хакер Bitstamp ледь не вкрав додаткові 1,75 мільйона доларів

Відповідно до аналізу блокчейну, проведеного незалежним дослідником, Bitstamp ледве уникнув втрати додаткових 1,75 мільйона доларів у Bitcoin під час недавнього злому.

В останні години пограбування 5,1 мільйона доларів, яке відбулося на біржі п’ять днів тому, 1,75 мільйона доларів у Bitcoin було швидко переміщено на адресу Як виявив аналітик Данно Феррін, Bitstamp, як вважалося, використовувався для холодного зберігання.

CoinDesk може підтвердити, що адреса, про яку йде мова, контролювалася Bitstamp ще 2 грудня. Виконавчий директор фірми Нейц Кодрік заявив тоді, що адреса використовувалася під час аудиту. Хоча генеральний директор сказав, що дані будуть оприлюднені протягом тижня, починаючи з 8 грудня, біржа з ​​тих пір T публікувала жодних результатів аудиту 24 травня.

Феррін, який публікує свій аналіз блокчейну у своєму блозі CryptoCrumb, сказав, що врятовані кошти, ймовірно, надійшли із сотень адрес, які біржа використовувала для прийому депозитів клієнтів. Схоже, що ці адреси формують «операційний гаманець», який, за словами Bitstamp, був скомпрометовано 4 січня, що призвело до крадіжки на 5,1 мільйона доларів.

Згідно з аналізом Ферріна, дані транзакцій у блокчейні пов’язують кошти, що витікають із операційного гаманця Bitstamp, на адресу «аудиту» Bitstamp, а також інша адреса який, як вважається, контролюється злодієм.

Якщо Феррін правий, то загалом 6,6 мільйонів доларів у фондах Bitstamp були під загрозою викрадення, хоча біржі вдалося врятувати приблизно чверть коштів за мить.

«Могло бути й гірше», — написав Феррін.

Шквал угод

Схоже, злом почався вранці 4 січня, коли 3100 BTC було переведено на гаманець для крадіжки. Кошти стабільно надходили протягом наступних 16 годин. Станом на 16:00 на балансі адреси було понад 6000 монет.

Потім притоки прискорилися. Наприкінці 4 січня та в перші години наступного дня в гаманець крадія було поміщено ще 12 000 монет.

У цей момент Bitstamp, схоже, почав вичищати кошти зі свого HOT гаманця, роблячи їх поза досяжністю хакерів.

Врятовані кошти були перенесені на адресу холодного сховища під час серії переказів, що відбувалися протягом приблизно 30 хвилин, і в результаті було внесено 4200 BTC .

На адресу біржі надійшло дві транзакції по 1000 BTC о 00:54 5 січня. Приблизно 15 хвилин тому він уже прийняв 22 перекази по 100 BTC. Великі перекази тривали до 01:06, коли було внесено додаткові чотири блоки по 100 BTC .

Все сказано, адреса холодильного складу отримав загалом 6478 BTC на суму близько 1,8 мільйона доларів 5 січня. The адреса крадіжки тримав 18 977 біткойнів на піку.

Змагайтеся за гроші

ONE з пояснень того, що сталося 4 і 5 січня, полягає в тому, що біржа вела змагання зі зловмисником за вилучення коштів із HOT гаманця.

Феррін каже, що злодій мав доступ до всіх адрес у HOT гаманці Bitstamp, оскільки деякі транзакції показують, що гаманець для крадіжки генерує «змінити адресу', до якого пізніше отримав доступ Bitstamp.

ONE приклад цього, наведений у блозі Ферріна, показує 32 BTC , надіслані на адресу крадіжки. Ця транзакція згенерувала адресу зміни, яка містила близько 0,64 BTC. Приблизно через 40 хвилин ця змінена адреса була очищена, утворивши частину транзакції на загальну суму 10 BTC на адресу холодного сховища Bitstamp.

Таким чином, гаманець злодія створив адресу зміни, яка також була доступна Bitstamp. Це свідчить про те, що злодій отримав контроль над внутрішніми системами Bitstamp, які керують його HOT гаманцем, а не лише над приватними ключами цього гаманця, сказав Феррін, додавши:

«Вони знали, що змагаються між собою за те, що залишилося на столі».

Аналіз «має сенс»

Феррін написав частину програмного забезпечення під назвою Numisight виконувати аналіз блокчейну як хобі. Його повсякденна робота — у групі розгортання програмного забезпечення в гіганті корпоративного програмного забезпечення Oracle. Він каже, що має намір незабаром випустити своє програмне забезпечення.

ONE дослідник безпеки, який прочитав аналіз Ферріна, погоджується з його висновками.

Кристов ATLAS, який започаткував Відкрити проект Політика конфіденційності Bitcoin, сказав, що послідовність транзакцій узгоджується з уявленням про те, що Bitstamp врятував близько чверті ризикованих коштів. Він додає, що докази щодо того, як саме зловмисник зламав системи Bitstamp, залишаються непереконливими.

«Графік роботи Bitstamp, щоб змістити монети в холодне сховище в останні години атаки, має сенс», — сказав ATLAS .

Незрозумілі деталі

Однак деякі інші деталі транзакцій атаки, опубліковані в блокчейні, продовжують спантеличувати таких аналітиків, як Феррін.

Кілька транзакцій із крадіжним гаманцем мали високі комісії майнерів до 1 BTC . Такі високі комісії T підвищили б пріоритет транзакції в багатьох випадках, тому що суми транзакції вже були достатньо великими, щоб надати їй статус високого пріоритету серед майнерів.

Шахтарі цінують a пріоритет транзакції зваживши його розмір і вік, перш ніж розглядати комісії за транзакцію.

Інша проблема полягає в тому, що, схоже, продовжується діяльність і крадіжка з HOT гаманця Bitstamp. Нещодавно 8 січня монети продовжували FLOW в гаманець для крадіжок з адрес, які, як припускають Феррін та інші, подають кошти клієнтам Bitstamp.

Рішення злодія перевести всі кошти, отримані незаконним шляхом, на ONE адресу також викликає ONE, каже Феррін.

Направлення такої великої кількості монет на ONE адресу заохочує до ретельного вивчення блокчейну. Це також може зробити монети складнішими для злодія, щоб непомітно витратити їх.

«Надіслати все на ONE адресу було величезною помилкою», — сказав Феррін. «[Якби монети були продані на біржі], їх попросили б пояснити це. Вони б залишили слід».

Вкрадені монети на ходу

Викрадені монети зараз у русі. Оригінальна адреса крадіжки була в основному очищена, залишилося лише 90,6 BTC . Кошти були розподілені за десятками нових адрес – 47 за останнім підрахунком Ферріна 7 січня.

Невелику кількість монет тепер, схоже, було відправлено до монетозмішувача, що ускладнить майбутнім покупцям монет відстежити їх назад до крадіжки Bitstamp.

Але незалежно від того, куди потраплять вкрадені монети, транзакції, пов’язані з крадіжкою, тепер залишатимуться загальнодоступними в блокчейні.

«Раніше в заповнених димом кімнатах відбувалися речі, про які ви ніколи не дізналися, тепер блокчейн дає можливість повернутися в минуле, довести, що вони повертаються назад. Це схоже на те, що сонячне світло є найкращим дезінфікуючим засобом», — сказав Феррін.

Виправлення: Феррін може випустити своє програмне забезпечення, але KEEP джерело запатентованим. У попередній версії цієї статті помилково говорилося, що він зробить своє програмне забезпечення відкритим кодом.