Zranitelnost při výběru umožnila krádež bitcoinů z Flexcoinu a Poloniexu

Hackeři našli slabiny zabezpečení, které jim umožnily přečíst účty u Flexcoinu a Poloniexu, dvou webových stránek, které usnadňují bitcoinové transakce, a zneužily je k odcizení bitcoinů ze dvou služeb. Útoky vyřadily Flexcoin z podnikání a náklady uživatelů Poloniexu činily 12,3 procenta jejich bitcoinů.

Flexcoin, který se označil za „první bitcoinovou banku na světě“, oznámil v pondělí, že se uzavírá poté, co hackeři ukradli 896 bitcoinů v hodnotě zhruba 600 000 USD z jeho „horké peněženky“ - bitcoinové peněženky připojené k internetu. Společnost zveřejnila další podrobnosti o hack v aktualizaci zveřejněné na svých webových stránkách koncem úterý.

Útočník nejprve vytvořil nový účet Flexcoin a vložil do něj nějaké bitcoiny, řekl Flexcoin v aktualizaci. Poté „úspěšně využil chybu v kódu, která umožňuje přenosy mezi uživateli flexcoinu. Odesláním tisíců simultánních požadavků byl útočník schopen„ přesunout “mince z jednoho uživatelského účtu na druhý, dokud nebyl odesílající účet přečerpán, než byly aktualizovány zůstatky. "To se pak opakovalo prostřednictvím několika účtů, sněžilo se o částku, dokud útočník nestáhl mince."

Společnost popsala zranitelnost jako chybu na svém front-endu, ale nevysvětlila, proč její systém nezohlednil přečerpání..

„Popis od společnosti Flexcoin mi připomíná zranitelnosti, které jsem viděl v aplikacích online bankovnictví před 10 lety,“ uvedl e-mail Amichai Shulman, CTO bezpečnostní společnosti Imperva. "Individuální zranitelnost je omluvitelná, protože nemá k dispozici monitorování, aby ji včas zjistila."

"Bez dalších podrobností je těžké přesně říci, jak složitá byla podmínka, ale skutečnost, že to vyžadovalo více aktivních účtů a požadavků, snižuje pravděpodobnost, že by tuto podmínku našli pomocí základního testování," řekl Tim Erlin, ředitel společnosti strategie bezpečnostního rizika u bezpečnostní firmy Tripwire, e-mailem.

Nicméně, zda zranitelnost byla složitá nebo základní, není tak důležitá jako dopad, který měla, řekla Erlin. "O závažnosti vady svědčí dopad: Flexcoin je bez podnikání."

Bitcoinová burza s názvem Poloniex také oznámila v úterý, že útočník ukradl 12,3 procent svých prostředků technikou, která vedla k přečerpání účtů. Není však jasné, zda útok souvisí s útokem proti Flexcoinu.

„Hacker zjistil, že pokud umístíte několik výběrů prakticky ve stejném okamžiku, budou zpracovány víceméně ve stejnou dobu,“ uvedl uživatel BitoniinTalk, který se jmenoval busoni, který se identifikoval jako majitel burzy Poloniex. Fórum. „Výsledkem bude záporný zůstatek, ale platné vložení do databáze, které pak vyzvedne démon pro výběr. Hlavním problémem je, že funkce auditu a zabezpečení výslovně nevyhledávaly záporné zůstatky.“

Poloniex měl větší štěstí než Flexcoin, protože zjistil neobvyklou aktivitu stažení a zmrazil transakce dříve, než útočník způsobil další škody. Výběr z burzy byl pozastaven, dokud nebude problém vyřešen.

Majitel Poloniex neuvedl, kolik bitcoinů představuje 12,3 procent fondů, ale plánuje rovnoměrně odečíst ztracenou částku ze všech uživatelských zůstatků a včas ji získat z směnných poplatků, které budou získány, aby se proces urychlil..

Řekl také, že část dluhu pokryje z vlastních peněz, ale ne všechno. „Kdybych měl peníze na pokrytí celého dluhu právě teď, tak bych je kryl srdečním rytmem,“ řekl. "Jednoduše to neudělám a nemůžu to jen vytáhnout ze vzduchu."

Incidenty Flexcoin a Poloniex přicházejí po Mt. Gox řekl, že hackeři ukradli velké množství bitcoinů z prominentní bitcoinové burzy, což vedlo společnost k prohlášení bankrotu minulý týden.

Shulman je znepokojen vzorem narušení bezpečnosti za posledních několik měsíců, který vyústil v krádeže bitcoinových burz a dalších služeb.

"Vidíme" finanční "organizace spojené s kolapsem bitcoinů jako věž karet," řekl. "Nemít žádnou schopnost se zotavit (finančně) z online útoku není něco, co bychom očekávali na vyspělém finančním trhu. Myslím si, že to, co se uživatelé bitcoinů nyní učí, je těžké, že existují výhody pro stávající ' centralizovaná „regulovaná finanční infrastruktura (například dohled a pojištění)“.

Erlin věří, že nedávná vyrážka krádeží bitcoinů je ve skutečnosti důkazem, že bitcoin je platný měnový systém. „Zůstane to tak pouze tehdy, pokud trh dokáže vyspělou úroveň ochrany kolem sebe,“ uvedl.

"Protože neexistuje dohled nad auditováním implementace bitcoinových procesů a žádná organizace, která podporuje měnu, mám podezření, že uvidíme další podobné incidenty a některé z těchto incidentů ovlivní jednotlivce i podniky, jako je Flexcoin," řekl Dwayne Melancon, CTO společnosti Tripwire, e-mailem.

Podle stránky bitcoinových wiki je udržování velkého počtu bitcoinů v horké peněžence „zásadně špatnou bezpečnostní praxí“. Pro burzy bitcoinů je běžné, že některé prostředky ponechávají v horkých peněženkách, aby se usnadnily okamžité výběry, ale nejlepší praxí je to dělat jen s malými částkami..

„Flexcoin se pokusil udržet naše servery co nejbezpečnější, včetně pravidelného testování,“ řekl Flexcoin. „Za našich ~ 3 let existence jsme úspěšně odrazili tisíce útoků. Nakonec to však nestačilo.“

„To, že to bude zánik naší malé společnosti, nebylo po našich nekonečných hodinách práce, které jsme vložili, nikdy naším záměrem,“ řekla společnost. "Zklamali jsme naše zákazníky, naše podnikání a nakonec bitcoinovou komunitu."

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.