Утечка эфира: как хакеры одним махом похитили криптовалюту на $32 млн

Интерес к криптовалютам растет не только среди предпринимателей, но и среди хакеров. Например, на прошлой неделе хакеры взломали и изъяли криптовалюту Ethereum (ETH) у клиентов трех компаний, чей бизнес использует технологию блокчейн. При курсе ETH 227,18 долларов за эфир на 20 июля стоимость украденной криптовалюты составляет 32 миллиона долларов.

CTS-PRO - это новая версию конструктора советников для автоматизации торгового процесса трейдера, без использования языка программирования.
8 часов назад
FiboMagic - Торговая система проверенная временем, ей уже более 25 лет. Основана на классике.
6 часов назад

Эта история напоминает экспертам прошлый год с The DAO (первой децентрализованной автономной организацией), когда была украдена криптовалюта на сумму около 50 миллионов долларов. В 2016 году создатель Ethereum Виталик Бутерин нашел способ вернуть свои деньги с помощью операции под названием хардфорк. Однако некоторые пользователи посчитали, что это нарушает этические каноны криптовалюты. В результате сеть разделилась на две части: помимо всем известного Ethereum появилась новая цифровая валюта Ethereum Classic (ETC).

Пострадавшие

Самая массовая кража произошла 20 июля у клиентов Parity. Его пользователи хранят деньги в специальном кошельке — multisig (кошелек, доступный одновременно многим пользователям, работающий на смарт-контрактах). Хакеры воспользовались уязвимостью, позволяющей перезаписать владельца кошелька. Как только злоумышленники получили контроль над ним, достаточно было перевести деньги на кошелек.

Создатель Parity признал проблему и выпустил обновление программного обеспечения. В заявлении компании говорится, что на момент написания статьи злоумышленники пытались вывести украденные средства через биржи. В то же время было отмечено, что группа «белых хакеров» использовала тот же эксплойт для защиты других скомпрометированных кошельков в Ethereum: они переместили более 377 000 эфиров на сумму около 80 миллионов долларов с кошельков Parity в «безопасное место» и заявили, что они намерены вернуть контроль первоначальным владельцам. Пока нет данных об обратном переводе средств.

Среди жертв была Aeternity, компания, работающая над технологией смарт-контрактов на основе блокчейна. Он подтвердил кражу 82 000 эфиров из 102 000 единиц этой криптовалюты, которые были собраны в ходе ICO. Под удар попали и блокчейн-казино Edgeless, Swarm City, Foundation — компания потеряла 44 055 эфиров. Эфир отреагировал на атаку падением в среду до 191 доллара, но валюта быстро восстановилась. 24 июля криптовалюта стояла на отметке 228 долларов за эфир.

Паритет подчеркнул, что средства, украденные с трех кошельков, составляют небольшую часть от общей суммы средств на 596 счетах. Тем не менее, создатель клиента и соучредитель блокчейн-платформы Ethereum Гэвин Вуд посоветовал пользователям выводить деньги с клиента в безопасное место. Коллега Бутерина признал, что взлом был вызван ошибкой в ​​последней версии клиента, которая позволяла нескольким людям держать ключи от кошелька и выводить деньги большинством голосов.

Реакция сообщества

«Когда речь идет о взломе любой системы, чем больше в ней участников, тем она становится более уязвимой для атак. Чем больше интерес — тем больше атак со стороны хакеров», — подтверждает ИТ-специалист Иван Волин. При этом он уверен, что слабостью криптовалют является незащищенность конкретных клиентов, подчеркнув, что большинство хакерских атак основано на социальной инженерии, «когда взламывается конкретный человек».

С ним соглашается специалист по прикладной криптографии и криптовалюте Евгений Койнов: «В последнем случае системной уязвимости нет. Однако теперь пользователям следует сразу воздержаться от хранения средств в кошельках Parity, использующих алгоритм мультиподписи», — говорит он.

В прошлом году, когда у DAO было украдено 50 миллионов долларов, Виталик Бутерин убедил своих коллег протолкнуть криптовалюту, но в этот раз пообещал в своем Twitter-аккаунте, что такого больше не повторится. Причин отказа создатель эфира не назвал. Михаил Лобанов, управляющий партнер Target Global, считает, что разделение на Ethereum и Ethereum Classic показало высокий риск такой операции — на момент хардфоржа будущее обеих криптовалют было под большим знаком вопроса. Поэтому участники рынка сразу предположили, что Бутерин не станет рисковать всей системой: «Ведь эпизод Parity сейчас гораздо менее важен для Ethereum, чем The DAO год назад. Заметим, что для DAO на вывод приходилось 6% криптовалюты Ethereum. капитализация сети, но сейчас даже общая потеря средств, выведенных злоумышленниками и «белыми хакерами», составляет 0,9% от капитализации Ethereum.

Не большой, но очень простой заработок...
6 часов назад
На какие тактики настраивать РСЯ, какие фразы подбирать, кому показывать рекламу, как получать...
10 часов назад

Операционные механизмы DAO препятствовали выводу украденных средств в течение 40 дней, и убытки Parity вряд ли будут возмещены. Игорь Баринов, основатель стартапа Block Notary, пояснил в интервью Forbes, что криптовалютные технологии и размер рынка позволят хакерам «разводить средства в других криптовалютах, в том числе анонимных»: «Обменять разведенную криптовалюту несложно». за эквивалент в традиционных валютах при капитализации рынка криптовалют в $90 млрд. «По его мнению, уязвимость Parity была более серьезной, чем у The DAO, поскольку две большие группы хакеров («черные» и «белые») смогли найти жучок. В то же время он отмечает осторожное поведение злоумышленников: «Они похитили сумму, эквивалентную 30 млн долл., и остановили атаку, чтобы снизить вероятность возникновения хардфорка». Баринов заключает, что хардфорвард будет включать нарушение прав независимых участников системы и поэтому маловероятно.

Причина инцидента

Игорь Баринов объяснил технические причины утечки: «Технология мультисайтового кошелька может быть реализована по-разному, и Parity явно пошла по пути хранения единого приватного ключа для алгоритма эллиптической кривой, зашифрованного набором ключей владельцев, что в случае взлома подразумевает, что злоумышленник мог получить доступ к закрытому ключу шифрования на сервере компании в момент совершения транзакции». В результате злоумышленники смогли извлечь и расшифровать ключ четности с сервера, в то время как в классическом алгоритме закрытый ключ находится на стороне пользователя и не передается в систему: «В этом случае, если компьютер скомпрометирован, этот инцидент не компрометирует ключи других пользователей.

В атаках на Parity и DAO злоумышленники использовали разрыв контракта, пояснил Forbes редактор xakep.ru Андрей Письменный. «Смарт-контракты — это особенность Ethereum, которой нет у других криптовалют. Контракты Ethereum — это полноценные программы со всеми вытекающими последствиями. В частности, они могут содержать ошибки, которыми пользуются злоумышленники. Их действия можно сравнить с тем, что делают юристы при рассмотрении Текст контракта в розыске Отличие в том, что в случае с Ethereum нет суда для проверки решения: все работает полностью автоматически, пояснил он.

Эфириум работал как положено в инцидентах, но составители контрактов подвергали своих клиентов опасности по недосмотру. Однако успехи хакеров могут бросить тень и на криптовалюту, придуманную Виталиком Бутериным: «С тем же биткойном и другими криптовалютами такие атаки практически невозможны», — поясняет Андрей Письменный. Он добавляет, что проблемы с безопасностью преследуют криптовалюты на каждом шагу: «В погоне за заработком многие участники рынка забывают о безопасности. А когда дело доходит до денег, желающих это проверить предостаточно».

Компания Parity согласилась с тем, что в случившемся виновата компания. Создатели объяснили, что им не хватает средств, чтобы усилить свою безопасность самостоятельно. «Parity не получала финансирования от каких-либо организаций в экосистеме Эфириума. Вот почему мы обращаемся к сообществу и тем, кто использует наше программное обеспечение в своих хорошо финансируемых компаниях и проектах: помогите нам создать фонд, который поможет гарантировать, что это не повторится. Финансирование исправления ошибок и обучения безопасному программному обеспечению.

Константин Виноградов, аналитик Runa Capital и исполнительный директор кластера IT-Физтех, отмечает, что, в отличие от DAO, инцидент с Parity носит локальный характер: он почти не повлиял на курс и был вызван конкретной ошибкой разработчика. Самым интересным моментом в атаке на Parity является вмешательство хакеров The White Hat Group, которые, обнаружив уязвимость сами, воспользовались ею для вывода денег с кошельков потенциальных жертв и не позволили это сделать злоумышленнику: «На самом деле, «хорошие» люди украли бы деньги, чтобы «плохие» люди не украли», — резюмирует он.

Судьба криптовалют

Волна атак на криптовалютную индустрию и многомиллионных краж была вполне ожидаемой, по мнению директора консалтинговой компании Digital Security доктора Ильи Медведовского: «Киберпреступники увидели легкую возможность практически безнаказанно «заработать» серьезные средства, и теперь они пойдут по проторенной дорожке, которая может убить доверие пользователей и инвесторов к зарождающейся криптовалютной индустрии».

Он видит кражи криптовалюты в результате использования приложений, которые часто пишутся наспех без серьезного анализа безопасности: криптовалютные кошельки, смарт-контракты. В некоторых случаях применяется и социальная инженерия — для ICO используются сайты для подмены кошельков. По словам Медведовского, технология блокчейна не панацея — без серьезных регулярных пентестов и внедрения безопасного цикла разработки криптовалютных приложений.

Игорь Баринов оптимист: «Глобальных проблем с безопасностью криптовалют нет. Сообщество сделает выводы и разработает безопасные способы создания и публикации смарт-контрактов».

CTS-PRO - это новая версию конструктора советников для автоматизации торгового процесса трейдера, без использования языка программирования.
8 часов назад
Чтобы заработать такие деньги, нужно уделять всего пару минут в день ... !
6 часов назад

Читайте также