Биткоин, как любая созданная людьми система, испытывает на себе влияние как самых высоких утопических идей, так и самых низких пороков. В этой статье описывается история внутреннего саботажа на одной из популярных криптовалютных бирж.
За один месяц платформа ShapeShift, по словам ее основателя и директора Эрика Вурхеса, была предана ее сотрудником целых три раза. И в этом случае можно понять его эмоциональные оценки.
В общей сложности с биржи было украдено около двухсот тысяч долларов в криптовалютах. Несмотря на это, средства клиентов не были потеряны и не подверглись какому-либо риску. Самой бирже также удалось выдержать этот удар и восстановиться.
Предыстория
С момента своего основания весной 2014 года биржа ShapeShift постоянно развивалась. Поэкспериментировав для начала с биткоинами и лайткойнами, биржа очень быстро стала работать со всеми основными активами на блокчейне.
Осенью прошлого года руководство биржи пришло к выводу, что серверная архитектура ShapeShift потеряла былую эффективность. Им понадобился специалист, который смог бы создать масштабируемый и безопасный серверный инструмент, обеспечивающий развитие технологии компании.
Вскоре такой человек был найден. У него было безупречное резюме и отличные рекомендации. Он занимался криптовалютой с 2011-2012 годов и создавал майнеры в собственной комнате. Назовём этого нового сотрудника Бобом. Его имя действительно начинается на букву «Б».
В течение нескольких месяцев Боб занимался созданием и поддержкой инфраструктуры ShapeShift. Он не делал ничего особенного, однако к нему не было и никаких претензий, а руководство биржи гордилось, что у них работает такой профессионал.
В первом квартале этого года, когда рынок окончательно осознал преимущества использования блокчейна, объем торгов на бирже резко вырос. Однако, инфраструктура ShapeShift не была готова к такому росту. Нужно было срочно усовершенствовать платформу.
К сожалению, от Боба в этом деле не было никакой помощи. В то время как команда компании, не покладая рук, работала над поиском нового решения, Боб бесцельно слонялся без дела. Хотя, как оказалось, вовсе не бесцельно.
Первое предательство
Утром 14 марта биржа обнаружила пропажу 315 BTC из своего горячего кошелька. Были срочно вызваны все сотрудники компании, однако системный администратор Боб явился только к 11:30. На вопрос, заходил ли он на сервер этим утром, Боб ответил отрицательно. Он не принимал никакого участия в обсуждении пропажи, и, казалось, был совсем не удивлен этим фактом.
В процессе проверки было обнаружено два SSH-ключа (принадлежащих Бобу), которые использовались для входа на поврежденный сервер тем злополучным утром за час до мошеннической транзакции, а затем – спустя две минуты – для выхода с сервера. Однако тогда это не вызвало подозрений, так как периодически ключи Боба использовались для входа на сервер, хотя довольно странно, что вход был произведен в 6 часов утра. Также было обнаружено, что пробой системы был совершён через закрытую сеть VPN, а это значит, что кражу совершил кто-то из сотрудников.
У всех работников, имеющих доступ к серверу, были собраны "отпечатки" их ключей SSH, чтобы сравнить их с журналами. Здесь снова возникла неувязка – ключа, который предоставил Боб, не было ни в одном из журналов. Он был совершенно новым. Согласитесь, странно, что ключ администратора сервера никогда не использовался на сервере.
Вскоре после этого Боб ушёл на обеденный перерыв, и его никто не видел в течение часа. По возвращении он сообщил, что ему нужно срочно отвезти маму в больницу и ушёл из офиса, пообещав вернуться через час.
Это произошло в 3 часа дня 14 марта. Больше никто из сотрудников компании его не видел.
Вскоре после ухода Боба один из программистов обнаружил, что Боб удалил два ключа SSH. Оказалось, что именно эти ключи использовались для входа в журнал утром перед самой атакой. Не оставалось сомнений, что средства биржи были украдены Бобом. Так как его не было в офисе, срочно были заменены все ключи.
Прошло около четырёх часов, а Боб так и не появился. Когда ему позвонили, он ответил, что решил поработать дома. На вопрос, зачем он удалил свои ключи SSH, он ответил, что не считал их важными. На все последующие вопросы он нёс такую же чепуху.
Впоследствии было найдено ещё несколько доказательств вины Боба, и остаток вечера команда провела в подготовке документов для гражданского и уголовного иска.
Тем не менее, руководитель биржи Эрик Вурхес решил предоставить Бобу шанс на спасение. Всем сотрудникам фирмы было разослано письмо с предложением вернуть украденные 315 Биткоинов до 10 часов утра следующего дня. В таком случае, руководство фирмы не стало бы возбуждать иск.
На это письмо Боб ответил: «Я не удалял никаких ключей и регулярно заходил на серверы для их проверки».
Однако на тот момент уже существовала запись телефонного разговора, в котором он признался, что удалил ключи.
На следующее утро Бобу было отправлено официальное письмо с требованием вернуть украденные средства. Также в письме сообщалось о прекращении трудового контракта. В ответ Боб обозвал сотрудников биржи расистами.
Ровион
После этого инцидента команда создала новую серверную инфраструктуру и новую облачную архитектуру с компанией под названием CloudCo. Жизнь, казалось бы, начала налаживаться. Но ненадолго.
Спустя неделю нагрянула новая беда. В четверг, 7 апреля, сотрудники биржи заметили, что из горячего кошелька уже на новой инфраструктуре CloudCo пропали токены Эфириума в количестве более 4000 ETH. Вслед за этим, была обнаружена пропажа 100 BTC, а затем и почти 2000 LTC. Систему пришлось закрыть для проведения расследования.
После многочасовой проверки команда компании пришла к выводу, что взломана была сама облачная платформа.
Специалисты компании проверили блокчейны и заинтересовались информацией о клиенте по имени Ровион Вавилов из Москвы. Всё указывало на то, что кражу средств с платформы совершил именно он.
Эрик Вурхес отправил "Ровиону" письмо с вопросом, как ему удалось осуществить эту атаку. Он практически не надеялся получить ответ, однако хакер ответил. В письме содержалось одно слово: «Боб».
Как бы ни было горько вновь переживать предательство, команда не прекратила работ по восстановлению платформы. Они запустили сайт с новым провайдером, компанией HostCo. Система снова начала работать.
Выполнение ордеров возобновились, и команда с облегчением вздохнула. Однако, радоваться было рано. Через несколько дней Эрику сообщили о новой краже биткоинов и эфиров из кошельков HostCo.
Тогда Вурхес решил обратиться за помощью к профессионалам, а также к нескольким крупным биржам.
Переписка с вором
В то же время Вурхес продолжал вести переписку с Ровионом. На просьбу предоставить информацию последний (естественно, не бесплатно) рассказал, что общался с Бобом после кражи монет. Именно Боб продал Ровиону информацию об IP-адресах, серверах, ключах и пользователях биржи.
После прибытия следователя было обнаружено, что значительная часть записей журналов была уничтожена. Однако, команде удалось восстановить часть «пустого» пространства диска и найти вредоносную программу. Программа была написана на Go и установлена на критический сервер, который взаимодействовал с кошельками. Именно с помощью этого инструмента были украдены средства с биржи. Программа также была обнаружена на обеих платформах - CloudCo и HostCo. Оставалось неясным, как она туда попала.
И тут команде биржи улыбнулась удача – Эрик Вурхес снова получил письмо от Ровиона. Последний предлагал Эрику выкупить украденные эфиры в обмен на биткоины. Ведь благодаря сотрудничеству с другими биржами, монеты Ровиона оказались заморожены. Эрик заключил с Ровионом своего рода договор, пообещав ему биткоины в обмен на информацию.
И Ровион рассказал, что ему удалось войти на сервер при помощи переданного ему Бобом ключа, после чего он установил бэкдор и забрал монеты. Однако, как было объяснить атаки облачных платформ, на которых использовались новые ключи, установленные уже после исчезновения Боба?
Ровион пояснил, что Боб установил доступ по протоколу RDP с компьютером другого сотрудника. Именно так Ровиону удалось взломать сервер во второй раз.
Разгадка была найдена. За 50 BTC Боб продал информацию о рабочих серверах, доступ к внутренней сети ShapeShift, часть исходного кода ShapeShift и доступ к протоколу удаленного рабочего стола (RDP), который он настроил на компьютере одного из сотрудников биржи.
Это практически всё объясняло. Имея доступ к компьютерам фирмы через удаленный рабочий стол, можно было использовать новые ключи SSH.
Итоги
Сотрудники компании надеются, что вся эта информация поможет им доказать преступные намерения Боба. Ведь это был не спонтанный порыв, а тщательно подготовленное предательство.
Руководитель биржи Эрик Вурхес гордится своей командой и считает, что для того, чтобы выжить в криптовалютной сфере, необходимо сохранять оптимизм. Несмотря на то, что предательство и связанные с ним потери оказались очень тяжелым ударом, во всем этом есть несколько положительных моментов.
Во-первых, ни один человек и ни одна компания не идеальны. Команда ShapeShift узнала свои слабые места и работает над ними.
Во-вторых, ни один из клиентов биржи не потерял свои средства в результате трех атак.
ShapeShift собирается продолжить работу по развитию и оптимизации своей платформы. Эрик Вурхес приносит извинения клиентам за временные неудобства, связанные с остановкой системы.
Нужно отметить, что если бы команда ShapeShift ужесточила меры безопасности, в том числе и доступ к рабочим местам всех сотрудников, сразу же после первой кражи, то последующих атак можно было бы избежать. Кроме того, на многих криптовалютных биржах подтверждение вывода крупных сумм производится вручную.
Примечание: некоторые имена и детали были изменены.
