Размещенный на Reddit конфиденциальный документ подробно описывает всю историю хакерского нападения на криптовалютную биржу Bitstamp, которое привело к потере 19 000 BTC в начале этого года. Bitstamp представила достаточно скудные подробности о том, что происходило за кулисами, ссылаясь на конфиденциальность информации в отношении расследования.
В случае с Bitstamp для нападения использовался Skype и электронная почта. Во время общения с сотрудниками были распространены файлы, содержащие вредоносные программы. Безопасность Bitstamp была скомпрометирована после того, как системный администратор Лука Koдрик скачал файл, по его мнению посланный представителем организации, которая хотела стать клиентом биржи.
Главный юрисконсульт Джордж Фрост:
11 декабря, в рамках этого предложения, злоумышленник отправил несколько вложений. Одно из них, UPE_application_form.doc, содержало вредоносный файл. При открытии документа, макрос автоматически загрузил вредоносный файл с IP-адреса 185.31.209.145, тем самым поставив под угрозу сервер.
В конечном счете, злоумышленники смогли получить доступ к двум серверам, содержащим файл wallet.dat, где хранился горячий бумажник Bitstamp.
Информация, содержащаяся в докладе, получена благодаря расследованию привлеченных сторонних организаций: фирмы судебно-медицинской экспертизы Stroz Friedberg, а также отделам по борьбе с киберпреступностью из США и Великобритании. (US Secret Service, Federal Bureau of Investigation и UK-based cybercrime authorities.)
Расследование взлома по-прежнему продолжается, и аресты могут последовать в ближайшем будущем. Отчет ссылается на усилия следователей в создании "медовой ловушки", чтобы заманить нападавшего в Великобританию и арестовать.
Правда, после публикации документа этот сценарий может не сработать. Согласно докладу, ранее попытка фишинга состоялась еще 4 ноября, когда один из нападавших связался с главным техническим менеджером Bitstamp, Дамианом Мерлоком, предлагая бесплатные билеты на панк-рок-фестиваль.
За два дня до этого также путем Skype с менеджером поддержки Bitstamp Aнжеем Симисаком связывался злоумышленник. В этом случае он сообщил, что ищет более подробную информацию о RippleWise - проекте, в котором Симисак работает главным операционным директором.
В начале декабря еще с несколькими сотрудниками Bitstamp связывались по Skype, в том числе и с Koдриком. Позже в компьютер Koдрика были занесены дополнительные вредоносные файлы, созданые между 17 и 22 декабря.
29 декабря злоумышленники использовали компьютер Koдрика для доступа к серверам, содержащим файл wallet.dat горячего кошелька.
4 января злоумышленник взломал бумажник Bitstamp, о чем свидетельствуют записи в blockchain. Хотя максимальный объем этого кошелька был 5000 Bitcoin, злоумышленник в течение дня смог украсть более 18 000 BTC, так как клиенты продолжали создавать новые депозиты.
В Bitstamp быстро оценили ущерб и создали группы реагирования на инциденты. Компании стало известно о краже вечером 4 января, а после аудита на серверах обнаружили произошедший 29 декабря взлом и передачу данных. Строз Фридберг начал расследование 8 января, работая из Словении в главном офисе компании.
В докладе отмечается:
Вскоре после обнаружения атаки, в Bitstamp приняли самое сложное, но необходимое решение - восстановить всю торговую платформу и вспомогательные системы с нуля, вместо того, чтобы пытаться запустить старую систему.
Компания сделала это с безопасной резервной копии, в соответствии с процедурами аварийного восстановления.
Bitstamp потеряла со своего горячего бумажника 18 866 ВТС, общей стоимостью около 5 263 614$. В то время цена Bitcoin была в среднем 279$.
Тем не менее, ущерб выходит за рамки тех Bitcoin, что хранились в горячем бумажнике:
Bitstamp потерял клиентов, в том числе крупных. При этом нанесен значительный ущерб репутации компании, который мы не в состоянии количественно оценить. Но мы считаем, что убыток превышает два миллиона долларов.
Дополнительные расходы включают в себя 250 000$, выплаченных команде Stroz Friedberg, еще 250 000$ разработчики выделили на перестройку платформы и 150 000$ на консультационные услуги.
Это был значительный убыток для Bitstamp, и это событие вызвало большие сомнения в безопасности и целостности экосистемы Bitcoin.
Комментарий от Bits.media
Потери Bitstamp никак не связаны с проблемами Биткойна или особой уязвимостью, характерной только для цифровых валют. Успех взлома вызван в первую очередь человеческим фактором. Соблюдение элементарных мер безопасности и тем более корпоративной политики должно быть основой работы в сети для любой крупной компании.
Поверхностное отношение к безопасности привело к массовому оттоку клиентов, в первую очередь профессиональных трейдеров, не только с Bitstamp. Оно также усилило недоверие к платежной системе Ripple, шлюз которой находился на Bitstamp. В результате возникновения проблем в Bitstamp, платежи через Ripple также были заморожены на несколько суток.
Более того, отсутствие официальных комментариев компании, недостаток информации о произошедшем порождал массу слухов о недобросовестном менеджменте и проблемах внутри самой системы. А последовавший через месяц инцидент с гонконгской криптовалютной пирамидой MyCoin и пропажей 390 млн гонконгских долларов (около 50 млн USD) клиентских средств только подогревал такую версию событий. Однако, ни один из произошедщих за все время существования криптовалюты взломов и краж не обнаружил каких-либо системных недостатков в технологии Bitcoin.