В продожение темы взлома Bitcoin-бирж.
Ночью c 4 на 5 сентября ещё одна биржа пала жертвой хакеров. На этот раз объектом атаки стала биржа Bitfloor (биржа № 4 по объёму в долларах США), которой владеет американец российского происхождения Роман Штильман. Злоумышленникам досталось 24,000 BTC что по текущему курсу составляет около 250 тысяч долларов США.
Как всегда, история взлома довольно загадочна.
31 августа появился неприметный топик о том, что Bitfloor в дауне. Официальный комментарий Романа, — «Не волнуйтесь, всё окей, просто в датацентре выключали электроэнергию (?! а как же резервные источники)», -и уверения всех в том, что с безопасностью проблем нет.
“All funds are secure and things should be operating normally soon.”
Здесь-то и начались подозрительные вещи. Некоторые пользователи биржи получили следующее уведомление:
“...there may have been some recent unauthorized activity which may have compromised the security of your api key.”. Заметим, это было 31 августа.
А ночью 4-го сентября произошло то, что уже всем известно. И снова причиной несчастья стало пренебрежение элементарными нормами информационной безопасности. Детали в изложении Романа выглядят очень просто:
Файл кошелька хранился на зашифрованном разделе диска, а вот бэкапы этих файлов, которые он сделал вручную при очередном обновлении, хранились в нешифрованном виде (facepalm).
Ещё более сильный facepalm вызывает то, что ВСЕ биткойны хранились непосредственно в “горячем” кошельке, а оффлайновый “холодный” кошелёк не использовался.
Радует то, что нетронутыми остались запасы в долларах США.
Сторонники теории заговоров пошли дальше и в результате несложных поисков выясняются некоторые ещё более странные подробности:
webcache.googleusercontent.com/search?q=cache:UYt4pj002acJ:https://bitfloor.com/about+&cd=1&hl=en&ct=clnk&gl=us — сохраненная версия контактных данных с сайта bitfloor.com
buybitcoin.com/home/contact/ — контактные данные практически неизвестной биржи, которой владеет человек с сомнительной репутацией по имени Bruce.
Эти данные — соседние почтовые ящики, и телефонные номера с одним и тем же префиксом (1-646-580-XXXX), предоставляемые одной и той же маленькой компанией BandWidth.com. Учитывая, что префиксов в коде 646 сотни, а компания BandWidth.com владеет только 17-ю…
Подозрительно, но не более того, никаких более доказательств о причастности Bruce к имитации взлома нет и эти совпадения остаются лишь дополнительными загадками.
Ссылки:
yro.slashdot.org/story/12/09/05/1238214/bitfloor-joins-list-of-compromised-bitcoin-exchanges
paritynews.com/security/item/266-bitcoin-exchange-bitfloor-shut-down-after-attacker-steals-24000-btc
bitcointalk.org/index.php?topic=105818.0 — Роман взывает пользователей помочь определится с дальнейшей судьбой биржи.
Проследить «последний путь» украденых денег можно по ссылкам.
blockchain.info/tx/83f3c30dc4fa25afe57b85651b9bbc372e8789d81b08d6966ea81f524e0a02be — 16,120 BTC
blockchain.info/tx/d5d23a05858236c379d2aa30886b97600506933bc46c6f2aab2e05da85e61ad2 — 1,000 BTC
blockchain.info/tx/f9d55dc4b8af65e15f856496335a29e2be40f128a7374c75b75529e864579f93 — 6,400 BTC
blockchain.info/tx/42ea472060118ee5aee801cdedbc4a3403f3708a87340660f766e2669f0afeb0 — 60 BTC
blockchain.info/tx/358c873892016649ace8e9db4c59f98a6ca8165287ac80e80c52e621f5a26e46 — 498.39 BTC
Автор: Jeditobe