Olemme nähneet monia korkean profiilin salausvaluuttoja viime vuosina. Tässä oppaassa puhumme mielestämme viidestä tärkeimmästä hakkeroinnista, jotka ravistelivat salausmaailmaa sen ytimeen asti. Tarkoituksena ei ole pelotella sinua, vaan kouluttaa sinua ja saada sinut ymmärtämään, miksi nämä hyökkäykset tapahtuivat. Jos olet kiinnostunut oppimaan lisää siitä, miten salaustoiminnot toimivat yksityiskohtaisesti, tutustu omistettuihin blockchain-kursseihimme.

5 korkean profiilin kryptovaluutta-hakkerointia

Mt. Gox Hack

Vuosi on 2013 ja Max Karpeles on maailman huipulla.

5 korkean profiilin kryptovaluutta-hakkerointia

Hänen japanilainen yhtiö Mt. Gox (Magic The Gathering Online Exchange) oli ylivoimaisesti suurin bitcoin-vaihto maailmassa. Se oli maailman suurin bitcoin-välittäjä, joka hoiti 70% maailman bitcoin-pörsseistä. Asiat näyttivät hyvältä Karpelesille, ja hän työskenteli monien mielenkiintoisten konseptien parissa, kuten Bitcoin Café. Pinnan alla oli kuitenkin halkeamia.

Harjoittele tulemaan Blockchain-kehittäjäksi

Aloita ilmainen kokeiluversio jo tänään!

Mt: n ongelmat Gox

Mt Goxin kanssa oli monia ongelmia, ennen kuin vuoden 2014 hakkerointi edes tapahtui, ja kaikki, mikä voidaan jäljittää erittäin epäpätevään hallintaan. Monin tavoin se oli katastrofi, joka odotti tapahtumista. Tokiossa toimiva ohjelmistokehittäjä, joka oli käynyt yrityksessä etsimässä työllistymismahdollisuuksia, oli järkyttynyt näkemästään.

Ongelma # 1: VCS: n puuttuminen

Ensinnäkin puuttui versionhallintaohjelmisto (VCS). VCS: n on oltava jokaisessa ohjelmistokehitysyrityksessä useista syistä.

  • VCS: n avulla voit seurata kaikkia koodipohjaan tehtyjä muutoksia. VCS: n käyttäminen auttaa paitsi näkemään tarkasti, milloin koodi vaihdettiin, vaan auttaa myös tietämään kuka sen teki. Sen avulla voidaan myös palauttaa muutos ja palata edelliseen versioon.

  • Toinen hyvä VCS-ominaisuus on, että se auttaa monia ihmisiä koodaamaan yhdessä samanaikaisesti pelkäämättä, että yksi ohjelmoija päällekkäin toisen koodin kanssa. Tästä olisi voinut olla todella apua Mt. Gox, jolla on useita ohjelmoijia, jotka työskentelevät samalla koodilla samanaikaisesti.

Ongelma # 2: Testauskäytännön puuttuminen

Ohjelmistokehittäjä löysi myös toisen erittäin hälyttävän uutisen. Viime aikoihin asti Mt. Goxilla ei ollut testauskäytäntöä. Ajattele sitä hetkeksi. Maailman suurimmalla bitcoin-vaihtoalustalla ei ollut testauskäytäntöä! He heittivät kirjaimellisesti asiakkailleen testaamatonta koodia! Ja se pahenee entisestään.

Ongelma # 3: pullonkaulan ongelma

Osoittautuu, Mt. Goxilla oli pullonkaulan ongelma. Toimitusjohtajan oli hyväksyttävä kaikki muutokset koodiin. Karpeles oli loppu ja koko järjestelmä. Se on vain huono hallinta (lisää tästä myöhemmin). Yhtiön toimitusjohtajan ei pitäisi koskaan olla pullonkaula koko koodausprosessista, mutta juuri näin tapahtui.

Ongelma # 4: Oikean hallinnan puute

Jos aavistaisimme kaikki asiat, kaikki johtuu yhdestä asiasta. Erittäin epäpätevä ja lapsellinen hallinta. Andreas Antonopoulos kertoi hyvin röyhkeässä mietinnössä tämän:

“Magic The Gathering -verkkopörssi on systeemiriski bitcoinille, kauppiaiden kuolemanloukku ja käsittelemätön yritys.”

Nämä ovat erittäin ankaria sanoja, mutta siinä on niin paljon totuutta. Asia on, että Karpeles oli enemmän idealistinen ohjelmoija kuin liikemies. Vaikka hän pystyi koodaamaan, hänellä ei koskaan voinut olla kykyä hallita yritystä. Ja valitettavasti tämän vuoksi tapahtui valtava katastrofi. Mutta ei ole kuin kukaan ei nähnyt sen tulevan.

Vuoden 2011 hakkerointi: Tulevien asioiden merkki

19. kesäkuuta 2011 tapahtui outo asia. Bitcoinin arvo Mt. Gox putosi kokonaan senttiin!

5 korkean profiilin kryptovaluutta-hakkerointia

Kuva: Wikipedia

Katso tämä kuva yllä?

Tämä on kaavio kaikista Mt.Gox Bitcoin Exchangessa 19. kesäkuuta 2011 tehdyistä Bitcoin-tapahtumista, jotka osoittavat hintojen kaatumisen. Pyöreän kaavion koko tarkoittaa tapahtuman kokoa.

Joten mitä tarkalleen tapahtui ja miksi hinta laski?

Hyökkääjä murtautui Mt. Gox Auditorin tietokone ja käytti sitä siirtääkseen valtavan määrän bitcoinia itselleen. He käyttivät pörssin ohjelmistoa kaikkien näiden bitcoinien myyntiin, mikä aiheutti järjestelmälle valtavan rasituksen, jonka seurauksena järjestelmän bitcoinien arvo laski dramaattisesti.

Vaikka hintaa säädettiin uudelleen muutamassa minuutissa, paljon vahinkoja oli jo tehty. Tämä vaikutti tileihin, joiden summa oli yli 8 750 000 dollaria. Vaikka Mt. Gox onnistui ryömimään takaisin tästä katastrofista, mikään ei voinut pelastaa heitä tulevasta katastrofista.

Vuoden 2014 hakkerointi: 473 miljoonan dollarin ryöstö

Menossa vuoteen 2014 Mt. Gox-käyttäjät valittivat pitkistä viivästyksistä palvelussa. Itse asiassa se muuttui niin pahaksi, että Yhdysvaltain pankkijärjestelmä todella jäädytti Mt. Gox pois sääntelyongelmien takia. 7. helmikuuta 2014 yritys lopetti kaikki bitcoin-nostot tutkiakseen yrityksen teknisiä prosesseja ja selvittääkseen, miksi viivästyksiä tapahtui.

He julkaisivat seuraavan lausunnon:

5 korkean profiilin kryptovaluutta-hakkerointia

Kuva: Coindesk

Tarkastuksensa aikana he huomasivat, että heihin oli kohdistettu tapahtuman muovautuvuushyökkäys.

Mikä on transaktioiden muunneltavuus?

Ennen kuin ymmärrämme sen, tarkistetaan, miltä yksinkertainen transaktiokoodi bitcoinissa näyttää.

Näin tapahtuma näyttää koodilomakkeessa. Oletetaan, että Alice haluaa lähettää 0,0015 BTC: tä Bobille ja tätä varten hän lähettää syötteitä, joiden arvo on 0,0015770 BTC. Näin kaupan yksityiskohdat näyttävät:

5 korkean profiilin kryptovaluutta-hakkerointia

Kuva: djp3 youtube -kanava.

Ensimmäinen asia, jonka näet:

5 korkean profiilin kryptovaluutta-hakkerointia

Onko tapahtuman nimi eli tulo- ja lähtöarvon tiiviste.

Vin_sz on syötetietojen määrä, koska Alice lähettää tietoja vain yhdellä aiemmista tapahtumista, se on 1.

Vout_sz on 2, koska ainoat tuotokset ovat Bob ja muutos, jonka Alice saa takaisin.

Tämä on syötetiedot:

5 korkean profiilin kryptovaluutta-hakkerointia

Alice käyttää vain yhtä syötetapahtumaa, tästä syystä vin_sz oli 1.

Syötetietojen alapuolella on hänen allekirjoitustietonsa (tämä on tärkeää muistaa ne edetessä).

Kaiken tämän alapuolella on lähtötiedot:

5 korkean profiilin kryptovaluutta-hakkerointia

Tietojen ensimmäinen osa tarkoittaa, että Bob saa 0,0015 BTC: tä.

Toinen osa tarkoittaa, että 0.00005120 BTC on se, mitä Alice saa takaisin muutoksena.

Muista nyt, että syöttötietomme olivat 0,0015770 BTC? Tämä on suurempi kuin (0,0015 + 0,00005120). Näiden kahden arvon alijäämä on kauppamaksu, jonka kaivostyöläiset perivät.

Joten tämä on yksinkertaisen tapahtuman anatomia.

Nyt on vielä yksi asia, joka sinun on tiedettävä, ennen kuin ymmärrämme, mitä transaktioiden muokattavuus voi tehdä. Lohkoketju luotiin täysin muuttumattomaksi, minkä se saavuttaa salauksen hash-toimintojen avulla. Tämä tarkoittaa olennaisesti sitä, että kun tiedot on laitettu lohkoketjun sisään, et voi muuttaa niitä. Pelkästään tämä laatu antaa blockchain-pohjaisille kryptovaluutoille valtavan turvallisuuden.

Kuitenkin on porsaanreikä

Entä jos tietojen manipulointi tapahtuu ennen kuin laitat tiedot lohkoketjuun? Vaikka peukalointi huomataan, kukaan ei voi tehdä mitään asialle, kun se menee lohkoketjun sisään.

Tätä kutsutaan transaktioiden muunneltavuudeksi.

Joten miten voit manipuloida tietoja?

Muista, että käskimme pitää mielessä allekirjoitustiedot syötteen aikana?

Osoittautuu, että syötetietojen mukana kulkevaa allekirjoitusta voidaan manipuloida, mikä puolestaan ​​voi muuttaa tapahtuman tunnusta. Itse asiassa se voi näyttää siltä, ​​että liiketointa ei edes tapahtunut. Katsotaanpa tämä esimerkissä.

Oletetaan, että Bob haluaa, että Alice lähettää hänelle 3 BTC: tä. Alice aloittaa 3 BTC-tapahtuman Bobin julkiseen osoitteeseen ja lähettää sen sitten kaivostyöläisten hyväksyttäväksi. Kun tapahtuma odottaa jonoa, Bob käyttää tapahtuman muovattavuutta muuttaa Alice-allekirjoitusta ja muuttaa tapahtuman tunnusta.

Nyt on mahdollista, että tämä väärennetty tapahtuma hyväksytään ennen kuin Alicen hyväksyntä, mikä puolestaan ​​korvaa Alicen tapahtuman. Kun Bob saa 3 BTC: n, hän voi yksinkertaisesti kertoa Aliceelle, ettei hän saanut 3 BTC: tä, jonka hän oli hänelle velkaa. Alice huomaa sitten, että hänen tapahtumansa ei onnistunut, ja lähettävät sen uudelleen. Tämän seurauksena Bob pääsee 6 BTC: hen 3 BTC: n sijaan.

Ja juuri tämän sanotaan tapahtuneen Mt. Gox hakata. Äärimmäisen huonon hallinnan ja varautumissuunnitelman puuttumisen vuoksi järjestelmästä varastettiin noin 473 miljoonan dollarin arvosta bitcoineja, jotka olivat noin 7% maailman bitcoinien tarjonnasta..

Jälkiseuraukset

Mt: n ajoitus Gox-hyökkäys oli hyvin valitettava. Tämä oli tuolloin, kun Bitcoin oli hitaasti saamassa valtavirtaa. Pelättiin, että Mt. Gox-hyökkäys voi palauttaa uskon järjestelmään vähintään 4-5 vuodella. Myös välittömät merkit olivat huolestuttavia. BTC: n arvo laski rajusti, kuten käy ilmi alla olevasta kaaviosta:

5 korkean profiilin kryptovaluutta-hakkerointia

Kuva: Coindesk

Mt. Gox julisti konkurssin ja myöhemmin havaittiin, että varastettu raha pestiin toisen BTC-e -vaihdon kautta. BTC-e: n omistaja Alexander Vinnik pidätettiin Kreikassa. Häntä syytetään rahanpesusta, jonka hän sai Mt. Gox BTC-e: n ja Tradehillin kautta, toinen vaihto, jonka hän sattuu omistamaan. Kreikan tuomioistuin on hyväksynyt hänen luovuttamisensa Yhdysvaltoihin, missä häntä kohdellaan jopa 55 vuoden vankeusrangaistus syytettynä.

Bitcoin on onneksi ohittanut tämän tapahtuman ja on siitä lähtien kasvanut vahvuudesta.

DAO Hack

Joten siirtymällä suurimmasta Bitcoinia järkyttävästä hyökkäyksestä suurimpaan hyökkäykseen, jonka Ethereum on kohdannut tähän päivään saakka. Hyökkäys ja sen seuraukset olivat niin ankaria, että kehittäjät joutuivat luomaan kokonaan uuden valuutan seurausten käsittelemiseksi! Joten, ennen kuin ymmärrämme DAO: n hyökkäyksen, antakaamme meille pieni historiatunti.

5 korkean profiilin kryptovaluutta-hakkerointia

DAO: n muodostuminen

Ethereumin koko ekosysteemi toimii älykkäiden sopimusten perusteella. Asiantuntijoille älykkäät sopimukset ovat periaatteessa miten asioita tehdään Ethereumin ekosysteemissä. Maalliselta kannalta älykkäät sopimukset ovat automatisoituja sopimuksia, jotka panevat täytäntöön ja helpottavat itse sopimuksen ehtoja.

DAO eli hajautettu autonominen organisaatio oli monimutkainen älykäs sopimus, joka aikoi mullistaa Ethereumin ikuisesti. Se oli periaatteessa hajautettu riskipääomarahasto, joka aikoi rahoittaa kaikki tulevat ekosysteemissä tehdyt DAPPS.

Se, miten se toimi, oli melko suoraviivaista. Jos halusit olla sananvaltaa DAPPS: n suuntaan, joka saisi rahoitusta, sinun olisi ostettava DAO-rahakkeita tietylle määrälle eetteriä. DAO-tunnukset osoittivat, että olet nyt virallisesti osa DAO-järjestelmää.

Joten miten DAPPS aiotaan hyväksyä ja rakentaa? Ensinnäkin, heidän on saatava sallittujen luetteloon kuraattoreilta, joilla on pohjimmiltaan tunnettuja hahmot Ethereum-maailmassa. Saatuaan hyväksyntämerkin heidät äänestetään DAO-tunnuksen haltijoilta. Jos ehdotus saa 20 prosentin hyväksynnän äänestyksessä, he saavat tarvittavat varat aloitukseen.

DAO: n potentiaali ja sen tarjoama joustavuus, hallinta ja täydellinen avoimuus olivat ennennäkemättömiä, ihmiset hyppäsivät sisään saadakseen osuutensa piirakasta. 28 päivän kuluessa muodostumisestaan ​​se keräsi yli 150 miljoonan dollarin eetterin joukosta. Tuolloin sillä oli 14% kaikista tähän mennessä myönnetyistä eetterimerkkeistä.

Saatat ihmetellä, että kaikki on hyvä, mutta miten yksi menee ulos DAO: sta? Entä jos jotkut DAPP hyväksytään, ettet ole valtava fani, miten voit kieltäytyä sitten DAO: sta? Tämän mahdollistamiseksi luotiin poistumisovi, jota kutsutaan “Jaettu toiminto”. Tätä toimintoa käyttämällä saat takaisin sijoittamasi eetterin, ja jos haluat, voit jopa luoda oman “Child DAO: n”. Itse asiassa voit jakaa useiden DAO-tunnusten haltijoiden kanssa ja luoda oman lapsi-DAO: n ja alkaa hyväksyä ehdotuksia.

Sopimuksessa oli yksi ehto, mutta sen jälkeen kun irrotit DAO: sta, sinun on pidettävä kiinni eetteristäsi 28 päivää ennen kuin voit käyttää niitä. Joten kaikki näyttää hyvältä ja hämmentävältä toistaiseksi … lukuun ottamatta, siellä oli yksi pieni ongelma. Monet ihmiset näkivät tämän mahdollisen porsaanreiän ja huomauttivat siitä. DAO: n luojat vakuuttivat, että tästä ei tule iso kysymys. Ainoa asia on, ja se loi koko myrskyn, joka jakoi Ethereumin Ethereumiksi ja Ethereum Classiciksi.

DAO-hyökkäys

17. kesäkuuta 2016 joku käytti hyväkseen tätä porsaanreikää DAO: ssa ja poisti kolmanneksen DAO: n varoista. Se on noin 50 miljoonaa dollaria. Hakkerin löytämä porsaanreikä oli jälkikäteen melko yksinkertainen.

Jos joku haluaa poistua DAO: sta, hän voi tehdä sen lähettämällä pyynnön. Halkaisutoiminto seuraa sitten kahta seuraavaa vaihetta:

  • Anna käyttäjälle takaisin eetterinsä vastineeksi DAO-tunnuksistaan.
  • Rekisteröi tapahtuma pääkirjaan ja päivitä sisäinen tunnussaldo.

Hakkerit tekivät sen, että he tekivät rekursiivisen toiminnon pyynnössä, joten näin jakamistoiminto meni:

  • Ota DAO-tunnukset käyttäjältä ja anna heille pyydetty eetteri.
  • Ennen kuin he voivat rekisteröidä tapahtuman, rekursiivinen toiminto sai koodin palaamaan takaisin ja siirtämään vielä enemmän eetteriä samoille DAO-tunnuksille.

Tätä jatkettiin, kunnes 50 miljoonan dollarin arvoinen eetteri otettiin pois ja varastoitiin Child DAO -laitteeseen, ja kuten voit odottaa, pandemonium kävi läpi koko Ethereum-yhteisön.

Huomaa: Ennen kuin jatkamme artikkelin kanssa, tehkäämme yksi ero selväksi. Hakkerointi tapahtui DAO: n ongelman takia, ei itse Ethereumin ongelmien takia. Ethereum toimii taustalla, kun taas DAO juoksee sitä.

Kuten Ethereumin perustaja Gavin Wood sanoo, Ethereumin syyttäminen DAO-hakkeroinnista on kuin sanoa “Internet on rikki” joka kerta, kun verkkosivusto kaatuu.

Jälkiseuraukset

Ethereumin yhteisö kokoontui ja päätti, että pehmeä haarukka oli paras tapa edetä. Pehmeä haarukka ei ole vain yhteensopiva taaksepäin, vaan se olisi saanut Dao Attackin katoamaan. Kehityksen aikana kehittäjät kuitenkin ymmärsivät, että pehmeä haarukka johtaisi paljon DDOS (Denial of Service) -hyökkäyksiin. Ainoa toinen vaihtoehto oli haarauttaa ketju kovalla haaralla ja tämä hajotti yhteisön. Tämä “jakaminen” johti kahteen eri Ethereumiin. Alkuperäinen Ethereum Classic (ETC) ja uusi kolikkohaarukka Ethereum (ETH).

Bitfinex Hack

5 korkean profiilin kryptovaluutta-hakkerointia

Kuva: AltCoin Today

Toiseksi suurimman bitcoin-historian kärsi Hongkongissa toimiva kryptovaluutanvaihtofoorumi Bitfinex. Varastettiin 120000 BTC: tä, jonka arvo oli tuolloin 72 miljoonaa dollaria. Bitfinex ilmoitti hakkeroinnista 2. elokuuta 2016. Ennen kuin ymmärrämme miten ja miksi hakkerointi tapahtui, meidän on ensin päivitettävä joitain käsitteitä.

Mikä on multi-sig-lompakko?

5 korkean profiilin kryptovaluutta-hakkerointia

Kuva Kohteliaisuus: Coin Hako -blogi

Helpoin tapa ymmärtää, kuinka monen allekirjoituksen (multi-sig) lompakko toimii, on ajatella kassakaappia, joka tarvitsee useita avaimia toimiakseen. Usean allekirjoituksen lompakko sopii erinomaisesti kahteen tarkoitukseen:

  1. Luomaan lisää suojausta lompakkollesi ja säästääksesi ihmisen virheiltä.
  2. Luodaan demokraattisempi lompakko, jota yksi tai useampi henkilö voi käyttää.

Kuinka monen allekirjoituksen lompakko säästää sinut inhimillisiltä virheiltä? Otetaan esimerkki BitGosta, joka on yksi maailman johtavista multi-sig-lompakkopalvelujen tarjoajista. He antavat 3 yksityistä avainta. Yksi on yrityksen omistuksessa, toinen käyttäjän omistuksessa ja kolmas on varmuuskopio, jonka käyttäjä voi pitää itsellään tai antaa luotettavalle henkilölle säilytettäväksi. Tarvitset ainakin jonkinlaisen tapahtuman BitGo-lompakossa. 2/3 näppäintä. Joten vaikka sinulla on hakkeri takanasi, heidän on erittäin vaikeaa saada käsiinsä 2 yksityistä avainta. Ja lisäksi, vaikka menetät yksityisen avaimen jostain syystä, sinulla on silti se varmuuskopioavain, jonka olet antanut ystävällesi.

Kuinka monen allekirjoituksen lompakko luo nyt demokraattisemman ympäristön? Kuvittele, että työskentelet yrityksessä, jossa on 10 henkilöä, ja tarvitset kahdeksan hyväksyntää tapahtuman tekemiseksi. Electrumin kaltaisen ohjelmiston avulla voit yksinkertaisesti luoda mukautetun multi-sig-lompakon, jossa on 10 avainta. Näin voit tehdä saumattomia demokraattisia liiketoimia yrityksessäsi.

Vaikka kaikki sen hämmästyttävät ominaisuudet, päivän lopuksi monen allekirjoituksen lompakko on edelleen kuuma lompakko, joten sinun on käytettävä sitä taloudellisesti. Bitfinex-hakkerointi (lisää siitä hieman) tapahtui huolimatta siitä, että sillä oli monen allekirjoituksen suojaus. Lisäksi päivän lopussa yrityksellä, jonka lompakkoasi käytät, on edelleen yksi yksityisistä avaimista. Se riippuu täysin heidän etiikastaan, mitä he voivat tehdä tai ei tehdä rahoillesi.

Kuinka hakata tapahtui?

Ongelman lähde oli Bitfinexin tarve löytää järjestelmä, joka antaisi käyttäjilleen paremmat turvallisuus- ja likviditeettivaihtoehdot. Suurin osa vaihdoista on yksinkertaisia ​​”kuumia” lompakoita, mikä tarkoittaa, että ne ovat aina alttiita hakkeroinnille. Bitfinex solmi kumppanuuden BitGon kanssa vuonna 2015 ja loi järjestelmän, jossa jokaiselle asiakkaalle toimitettaisiin useita allekirjoituksia sisältäviä lompakoita, jotka avaimet jaetaan useiden omistajien keskuudessa riskien hallitsemiseksi..

Bitfinex ilmoitti seuraavat:

“Asiakkaan bitcoinin ja kaikkien siihen liittyvien turvallisuusriskien sekoittamisen aikakausi on ohi.”

Kuitenkin niin ironiselta kuin se saattaa tuntua, tämä “turvatoimenpide” johti hakkerointiin. Kuten aiemmin keskusteltiin, moniallekirjoituksella varustetussa lompakossa on avaimet jaettu useiden omistajien kesken riskien hallitsemiseksi. Jotta tapahtuma voidaan suorittaa, kaikkien osapuolten on allekirjoitettava se. Bitfinexin tapauksessa ne tallentaisivat kaksi avainta, kun taas BitGo tallentaisi yhden avaimen.

Joten BitGon oletetaan toimivan lisäturvana ja tarkistavan Bitfinexistä lähtevien tapahtumien oikeellisuuden. Tämän ylimääräisen turvallisuustason vuoksi Bitfinex vähensi kylmäsäilytyslompakoiden käyttöä ja varastoi asiakkaidensa rahaa monisig-kuumiin lompakkoihin. Ajatuksena oli lisätä maksuvalmiutta vaarantamatta turvallisuutta. Kun hakkerit hyökkäsivät Bitfinex-palvelimiin, he onnistuivat paitsi saamaan Bitfinexin kirjautumaan ulos laittomista bitcoin-nostoista, myös toisinaan kiertämään BitGon turvatoimia ja saamaan heidät kirjautumaan myös nostoihin!

On paljon teorioita siitä, miksi juuri niin tapahtui. Teoriat, jotka siirtyvät salaliitteistä suorastaan ​​naurettaviksi. Uskottavin teoria on kuitenkin, että järjestelmän Bitfinex-kokoonpano oli rikki siten, että BitGo tekisi mitä Bitfinex sanoi käyttäjän varoilla. Joten periaatteessa multi-sig-lompakot eivät olleet oikeastaan ​​multi-sig-lainkaan, vain yksi epäonnistumispiste oli Bitfinexin palvelimet. Tätä teoriaa painotetaan enemmän, kun pidät mielessä, että BitGo on julkisesti ilmoittanut, että heidän palvelimensa eivät olleet vaarassa.

Jälkiseuraukset

Bitcoinin hinta meni romahdukseen ja laski lähes 20%. Yksi BTC meni jopa 480 dollariin ennen kuin se onnistui toipumaan.

5 korkean profiilin kryptovaluutta-hakkerointia

Kuva Kohteliaisuus: CoinDesk

Vaikka Bitfinex otti osuman, tapa, jolla he lunastivat itsensä, on varmasti kiitettävää.

He antoivat ensin kaikille asiakkailleen BFX-tunnuksen, joka oli periaatteessa IOU kaikille heidän omistamilleen varoille. Huhut alkoivat kuitenkin kiertää, että tämä oli vain Bitfinexin huijaus ostaakseen enemmän aikaa velan takaisinmaksuun. 1. syyskuuta, jotta ne voisivat lieventää Bitcoin-yhteisön pelkoja ja epäilyjä, he ostivat takaisin ensimmäiset 1,1% jäljellä olevista rahakkeista.

Mutta heidän pyrkimyksensä eivät olleet vielä loppu. Bitfinex lisäsi lisää kauppapareja, mahdollisti nopeammat nostot ja loi OTC-kauppapaikan suuremmille kaupoille ja lopulta liiketoiminta piristyi tarpeeksi, jotta ne pääsisivät nopeammin velasta.

Kuva: Bitcoin.com

5 korkean profiilin kryptovaluutta-hakkerointia

3. huhtikuuta 2017 Bitfinex lopetti kaiken BFX-rahakkeidensa kaupankäynnin ja alkoi antaa käyttäjille lunastaa ne koko $ 1: n arvosta BFX-tunnusta kohden.

Seuraava taulukko näyttää koko BFX-tunnuksen lunastushistorian:

5 korkean profiilin kryptovaluutta-hakkerointia

Kuva: Wikipedia

Pariteettiset Multi-Sig-jäädytetyt rahastot

Vaikka se ei olekaan teknisesti haitallinen hakkerointi, se, mikä on viime aikoina (kirjoituksen aikana) tapahtunut pariteettisten multi-sig-lompakoiden kanssa, ansaitsee maininnan. Ennen kuin jatkamme, valtava huuto SpringRolelle kaikista tiedoista. Joten kuinka usein on tapahtunut, että jäät jäät vahingossa 150 miljoonaan dollariin? Näin tapahtui käyttäjälle “devops199”, kun hän vahingossa tappoi sopimuksen: 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4.

5 korkean profiilin kryptovaluutta-hakkerointia

Kuva Kohteliaisuus: SpringRole Medium

Hän ei tiennyt, että hän vain avasi Pandoran laatikon.

20. heinäkuuta julkaistiin uusi versio Pariteettilompakon sopimus aloitettiin ennen sitä tapahtuneen rikkomuksen takia. Valitettavasti tässä uudessa koodissa oli suuri puute. On käynyt ilmi, että Parity Wallet -kirjastosopimus oli mahdollista muuttaa tavalliseksi moni-sig-lompakoksi ja tulla sen omistaja kutsumalla initWallet-toimintoa.

Tältä näyttää haavoittuva koodikappale.

Parity käytti kirjastovetoista älykästä sopimuskehitystä monisignaisten lompakkojensa käyttöön. Kaikki multi-sig-lompakot viittasivat tähän yksittäiseen kirjastosopimukseen kaikesta toiminnallisuudestaan. Pohjimmiltaan kaikilla Partiy Mulit-Sig -lompakoilla oli yksi epäonnistumispiste ja osoite oli lompakkokirjaston vakiokoodissa:

vakio _walletLibrary = 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4

Redditin käyttäjän mukaan, ironisesti nimeltään “ItsAConspiracy”, syy tähän suunnitteluun oli säästää kaasukustannuksia. Sen sijaan, että kopioitaisiin ja liitettäisiin sama koodi jokaiseen ainutlaatuiseen moni-sig-lompakkoon, he alkoivat käyttää kirjastoa, joka toimii kaikkien näiden lompakoiden “yhtenäisenä tilana” myös tiettyjen toimintokutsujen delegoimiseksi..

Joten periaatteessa sen sijaan, että sama koodi toistettaisiin tarpeettomasti jokaisessa lompakossa, oli yksi yhteinen paikka, jossa jokainen lompakko voi soittaa saadakseen joitakin toimintoja valmiiksi. Tämä tehtiin säästämään kaasua ja varastotilaa.

Siellä oli kuitenkin kohtalokas virhe, jota käyttäjä tahattomasti hyödynsi.

Käyttäjä pystyi pohjimmiltaan alustamaan kirjaston itse lompakkona ja vaatimaan sen omistajan oikeuksia, mukaan lukien oikeuden tappaa se kokonaan.

Jokaisella vakavaraisuussopimuksella on “tappaa” -toiminto. Tässä on esimerkki tappofunktiosta, joka antaa sinulle käsityksen:

toiminto tappaa ()

{

if (viestin lähettäjä == luoja)

{

itsemurha (luoja);

}

}

Kill-toiminto on olemassa sopimuksen loppuun saattamiseksi ja sellaisten merkkien luovuttamiseksi, jotka jäävät takaisin sopimuksen luojalle.

Se pohjimmiltaan viimeistelee sopimuksen.

Joten kun käyttäjä tappoi lompakon, hän tappoi periaatteessa kirjaston ja kaikki siihen liittyvät logiikkatoiminnot. Tämä tarkoittaa, että kaikista kirjastoon linkitetyistä lompakoista on tullut hyödyttömiä ja ~ 150 miljoonaa dollaria on jäädytetty.

Jälkiseuraukset

Näin Parity sanoi koko fiaskosta:

5 korkean profiilin kryptovaluutta-hakkerointia

Kuva Kohteliaisuus: SpringRole Medium

Kirjoittamisen jälkeen varat ovat edelleen lukittuina.

Koska Ethereum on muuttumaton, tätä toimintoa ei voi kumota. Ainoa tapa, jolla varat voidaan palauttaa, on kovakantinen.

Ethereum-yhteisö on tästä erittäin kiistanalainen, monet twitter-kyselyt osoittavat melkein 50-50 tukea ja mielipiteitä “hardfork-ratkaisulle”. Tässä on esimerkki tällaisesta kyselystä:

5 korkean profiilin kryptovaluutta-hakkerointia

Tällä hetkellä 150 miljoonan dollarin arvoinen eetteri kelluu vain, eikä kukaan ole vaatinut sitä.

Bonus: NiceHash Hack

Slovenialainen kaivosyhtiö NiceHash hakkeroitiin 6. joulukuuta 2017 klo 00.18 GMT 4700 BTC: lle, mikä on ~ 80 miljoonaa dollaria.

NiceHashin toimitusjohtaja Marko Kobal ilmestyi Facebook Liven keskustelemaan hyökkäyksestä. Hän ei paljastanut paljoakaan lukuun ottamatta sitä, että työntekijän tietokone olisi vaarantunut hyökkäyksen aikana, mikä johtaa varkauteen.

Hyökkääjät käyttivät periaatteessa työntekijän valtakirjoja saadakseen pääsyn NiceHash-järjestelmään. Tämän Kobalin oli sanottava:

“Kun otetaan huomioon käytössä olevien järjestelmien monimutkaisuus ja turvallisuus, tämä näyttää uskomattoman koordinoidulta ja hienostuneelta hyökkäykseltä.”

NiceHash keskeytti toiminnot 24 tunniksi perusteellisen tarkistuksen ja analysoinnin hakkeriin.

Näin yritys sanoi lehdistötiedotteessaan:

“Tärkeää on, että maksujärjestelmämme on vaarantunut ja NiceHash Bitcoin -lompakon sisältö on varastettu. Pyrimme tarkistamaan otetun BTC: n tarkan lukumäärän. Tämä on selvästi huolestuttavaa asiaa, ja teemme kovasti töitä tilanteen korjaamiseksi lähipäivinä. Oman tutkimuksen lisäksi tapauksesta on ilmoitettu viranomaisille ja lainvalvontaviranomaisille, ja teemme heidän kanssaan yhteistyötä kiireellisesti. “

Kryptovaluutta Hacks Päätelmä

Joten, sinulla on se. Neljä tärkeintä (mielestämme) salaus hakkerointia, joita on tapahtunut viime vuosina. Vaikka yksi oli hämmästyttävä ryöstön (Mt Gox) pelkän mittakaavan ja sen aiheuttaman täysin naurettavan väärinkäytön takia, toinen (DAO) oli niin vakava, että loi uuden kolikon korvaamaan aiheutetut vahingot. Ja tietysti meillä on vahingollinen katastrofi pariteettisesta multi-sig-fiaskosta.

Bitfinex-hyökkäys osoittaa kuitenkin, että riippumatta siitä, mitä salausmaailmaan heitetään, he löytävät aina tapan taistella ja palata takaisin.

Tämä on pohjimmiltaan tämän artikkelin tarkoitus. Valistamaan sinua hyökkäyksistä ja osoittamaan, että riippumatta siitä, mitä tapahtuu, tämä hullu ja hämmästyttävä kryptovaluutan maailma palautuu aina takaisin ja palaa vahvemmaksi. Kuten minkä tahansa rahajärjestelmän kohdalla, on puutteita, ja kaikkien kehittäjien on keskityttävä jatkuvaan tietoturvatestaukseen auditoinnilla ja tunkeutumistestauksella. Ei voida kuitenkaan kieltää pelkkää tahtoa selviytyä ja menestyä, mikä on hyvin ilmeistä, kun katsot salausmaailmaa.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me