Nagy összegű rablás a Bitcoinicánál

2012-05-13

Szerző: Dan Goodin

Több, mint 87.000$ értékű bitcoint loptak el ismeretlen támadók a Bitcoinica szervereiről. A Bitcoinica üzemeltetői gyorsan reagáltak, és átmenetileg leállították a kereskedőplatformjukat a károk minimalizálása érdekében. A vállalat illetékeseinek beszámolója szerint a rajtaütésre pénteken került sor, a támadók a rendszer online tárcáját ürítették ki, mely ekkor éppen 18.547 BTC-t tartalmazott. Egyben jelezték azonban azt is, hogy ez csupán egy csekély hányada volt a Bitcoinica teljes bitcoin-tartalékainak, és hogy ezután is gond nélkül tudnak majd teljesíteni minden visszavonási kérelmet, amint újra beindítják a platformot.

10 héten belül így immár a második lopást kellett elszenvednie a Bitcoinicának. Az előzőre még március elején került sor, amikor is a támadóknak a Linode felhőszolgáltató biztonsági hiányosságainak kiaknázásával sikerült ellopniuk összesen mintegy 210.000$ értékű BTC-t a Bitcoinica és a Linode más ügyfeleinek ott tárolt tárcáiból.

Blogposztjukban az illetékesek a következőképpen fogalmaztak: “Sajnálattal tájékoztatjuk felhasználóinkat a Bitcoinica ellen nemrégiben elkövetett támadásról. Hangsúlyozzuk azonban, hogy a bitcoin-tartalékaink legnagyobb része érintetlen maradt. A tolvaj tőlünk lopott, nem tőletek. Természetesen a továbbiakban is haladéktalanul teljesíteni fogunk minden visszavonási kérelmet.”

Figyelmeztettek továbbá, hogy kompromittálódott egy felhasználóneveket, mailcímeket és fióktörténeteket tároló adatbázis, valamint nem kizárt, hogy akár hashelt jelszavak is. Ezért sürgős jelszóváltoztatást javasoltak mindazoknak, akik más oldalakon is használják a Bitcoinicás jelszavukat. A felhasználók személyazonossága azonban nem került veszélybe, mivel az ezzel kapcsolatos adatokat külön szervereken, külön adatközpontban tárolják, és más titkosítási eljárásokkal is védik. “Ezekhez az adatokhoz” – írták, – “még akkor sem férhetne hozzá egy támadó, ha a weboldalunk adatbázisát már teljes egészében meghódította volna. Rövidesen többet is közlünk majd erről az esetről, a körülményeiről, és annak a részleteiről, hogy milyen további intézkedéseket fogunk foganatosítani az ügyben.”

Mailben megkerestük az eset kapcsán Zhou Tongot, a Bitcoinica vezérigazgatóját és főfejlesztőjét, valamint a vállalat más tisztségviselőit is, de jelen cikk írásának időpontjáig még nem kaptunk választ tőlük. Tong azonban egy online fórumon elmondott annyit, hogy a támadók egy, a Rackspace-nél tárolt szerverükbe törtek be, miután – nagy valószínűséggel egy automata email útján – sikerült resetelniük a jelszót. A fórumon többen is kritizálták Tongot amiatt, hogy nem kéttényezős hitelesítéssel védte a fiókot, és hogy ilyen nagy összegű likvid pénzt tárolt egy helyen, online, ahelyett, hogy offline, titkosítva tartotta volna. A hitelesítés kérdésére Tong nem válaszolt, de a tárolás módját illetően megvédte a módszerüket:

“Az árrés-egyenleg összege az az abszolút minimum, amennyit mindenképp folyamatosan, online elérhetően kell tartanunk annak érdekében, hogy mindig és bármikor teljesíteni tudjunk minden visszavonási kérelmet” – mondta. – “Mivel a rendszert átmenetileg leállítottuk, így pillanatnyilag nincs tudomásunk a nyitott pozíciókról. Meglehetősen biztosak vagyunk azonban abban, hogy az oldalon kívüli tartalékainkból minden további nélkül fedezni tudjuk az árrés-egyenleget, csak épp jelenleg nem tudjuk megállapítani a ki nem fizetett összegeket.

Mások arra panaszkodtak, hogy egy ekkora összegű lopás biztos megint jól a padlóra küldi majd a bitcoin árfolyamát. Az ezirányú aggályok azonban a jelek szerint teljességgel megalapozatlannak bizonyultak, mivel a váltók jelenlegi adatai szerint az árfolyam továbbra is 4,9$ körül mozog.

A márciusi eset a Bitcoinica mellett számos más kereskedőplatformot is érzékenyen érintettt, akik szintén sokat sajnálkoztak amiatt, hogy az ügyfelek kifizetési kérelmeinek teljesíthetőségének garantálása miatt sehogyan sem lehet megkerülni a nagy összegek folyamatosan elérhető, likvid, “forró tárcákban” való tárolását. Érintette továbbá a Linode-os incidens Gavin Andersent, a Bitcoin főfejlesztőjét is, aki mintegy 25$ értékű bitcoint veszített az eset miatt.

Ő maga akkor azt mondta az eset kapcsán, hogy jelenleg is a Bitcoin keretrendszerének egy olyan fejlesztésén dolgozik, ami nagyrészt elejét venné az ilyesféle lopásoknak a “többaláírásos tranzakciók” bevezetésével. Így ugyanis a tárcák már csak az egyik titkos kulcsot tárolnák az egyes tranzakciók beindításához szükséges (legalább) kettőből; a másikat már egy teljesen külön gépen vagy készüléken és helyszínen is tarthatja az ember. A jelen esettel kapcsolatos megkeresésünkre azonban jelen cikk írásáig nem válaszolt.

Forrás: Ars Technica

A lap szövege Creative Commons Nevezd meg! – Ne add el! – Így add tovább! 3.0 licenc alatt áll, felhasználni csak forrásmegjelöléssel, és ide mutató linkkel szabad.