Аккаунты клиентов гонконгской биржи были защищены технологией мультиподписи. Провайдером услуг безопасности выступала компания BitGo. Однако этих мер оказалось недостаточно, чтобы предотвратить кражу почти 120 тысяч биткоинов.

Накануне Bitfinex сообщила о массированной атаке, в результате которой были украдены 119756 BTC (более $73 млн на момент атаки). Биржа сообщила о приостановке всех операций и привлекла к расследованию правоохранительные органы. BitGo, в свою очередь, заявила, что их сервера не были взломаны.

Впрочем, как отмечают пользователи Reddit, заявления о защите с помощью мультиподписи в случае Bitfinex были скорее маркетинговым ходом — два из трех ключей хранились самой биржей (один в холодном хранилище), а третий — BitGo.  Исключение было сделано лишь для американских пользователей — они получили третий ключ в свое распоряжение после предупреждения комиссии по биржевой торговле и рынкам США в адрес биржи. Для подтверждения транзакции требовалось подтверждение двумя ключами из трех. Если бы скомпрометированными оказались только ключи на стороне Bitfinex, их аккаунты остались бы нетронутыми. Однако как минимум один американский пользователь сообщил, что также стал жертвой кражи.

Согласно действующей модели безопасности, когда пользователь инициировал транзакцию, Bitfinex подписывала ее и отправляла BitGo для верификации. Как следует из нынешней истории, подпись на стороне провайдера осуществлялась автоматически, без какой-либо проверки. Все транзакции были подписаны BitGo, подтвердил представитель биржи Зейн Такетт.

«Я сказал, что, скорее всего, уязвимость была с нашей стороны, а не со стороны Bitgo, я также сказал, что что наш холодный ключ, вероятно, не был скомпрометирован», — написал он в обсуждении.

Как утверждают представители Bitfinex, ее внутренние правила предусматривали лимит на снятие биткоинов, однако система не сработала, причину этого сбоя должно установить расследование. Холодные ключи, хранимые биржей, не были доступны хакеру. Такетт также заверяет, что сотрудники биржи не имели отношения ко взлому — такое подозрение озвучил ряд пользователей Reddit — хотя эта версия и не исключается в расследовании.

Модератор биткоин-сообщества Theymos таже высказался об инциденте. По его мнению, Bitfinex не следовало так сильно доверять BitGo, чья модель безопасности оказалась не на уровне.

«BitGo продает ложное чувство безопасности. У Bitfinex, по-видимому, было налажено прекрасное холодное хранение, но потом их как-то убедили, что BitGo будет безопаснее, хотя на самом деле они продавали за холодное хранение 100% горячее хранение».

«С другой стороны, мне сообщили, что BitFinex была предупреждена об этой уязвимости, BitFinex должны были об этом знать, именно они и потеряли ключи. Таким образом, я бы сказал, что 90% вины лежит на BitFinex, хотя BitGo тоже следует осудить за продажу услуги, которая весьма небезопасна в реальных условиях».

Некоторые пользователи, такие как bitbody2, осуждают технологию мультиподписи как весьма уязвимую:

«Почему одна сторона вообще держит у себя два ключа? Зачем вообще использовать  мультиподпись? Если бы ключ был у клиента, разве это не могло бы предотвратить несанкционированное движение денежных средств? Каким образом было принято решение, что в этой схеме вообще появился держатель большинства ключей? [...] Почему мажоритарный держатель ключей — это хорошая идея? Или я чего-то не знаю?»

Bitfinex пообещала держать людей в курсе текущих событий настолько оперативно, насколько это возможно: так, представитель компании Зейн Такетт выкладывает информацию в треде Reddit. Он также подтвердил предыдущее заявление, что были украдены только биткоины, в то время как лайткоины, токены ether и прочие активы остались неприкосновенны.

«Пока мы рассматриваем индивидуальные потери клиентов, нам может потребоваться закрыть все открытые маржинальные позиции, финансово связанные и/или косвенно затронутые взломом. Любая сделка будет осуществляться по текущим рыночным ценам на 18:00 UTC (21:00 мск — CoinFox)», — говорится в сообщении биржи.

Биткоин потерял 11% стоимости в связи с сообщениями о хакерской атаке, достигнув самого низкого уровня с мая этого года. Участники рынка, опасаясь, что атака на Bitfinex станет первой в череде хакерских нападений на другие криптовалютные биржи, бросились распродавать активы в биткоинах. Объем суточных торгов достиг 601 тысячи биткоинов ($331,3 млн), что почти вдвое выше, чем аналогичный показатель сутками ранее.

По состоянию на 9:15 мск криптовалюта торговалась на уровне $539,7. С вечера 2 августа биткоин подешевел на 11%. Локальный минимум в период снижения достигал уровня в $512. По такой цене биткоин не торговался с конца мая. На сегодняшний день Bitfinex  является третьей по популярности биткоин-биржей, ее ежедневный объем торгов составляет около 16 тысяч BTC (порядка $3,7 млн).  

 

Людмила Брус 

Комментарии  

# datachains.world 03.08.2016 11:42
Короче история в 101-й раз повторяется - биржа обманула своих неразборчивых пользователей. А их защита оказалась обманом по сути - так как всеми ключами они сами владели