Первый день весны ознаменовался крупной кражей биткоинов. Злоумышленники избрали своими жертвами владельцев биткоинов, хранивших свои кошельки в облачном хостинге Linode.com.
Первым заметил следы атаки владелец одного из известных майнинг-пулов mining.bitcoin.cz Marek Palatinus, известный в bitcoin-кругах под ником slush. Как он пишет в своем блоге, рано утром он получил SMS о том, что баланс кошелька, используемого его пулом для выплаты намайненных монет, опустился ниже установленного порога. Начав разбираться, в чем дело, он увидел, что 3094 монеты были переведены на некий кошелек (здесь можно увидеть эту транзакцию.) Быстрая проверка работающих сервисов пула не выявила никаких следов взлома. Однако затем он обнаружил, что два из его серверов на Linode были перезагружены и на них изменен рутовый пароль. (На одной из этих виртуалок и хранился bitcoin кошелек.) Сделано это было из админки (Linode Manager), Slush тут же обратился в поддержку Linode, которая поначалу никак не могла объяснить произошедшее, кроме как компрометацией пароля от админки. Но slush был уверен в сложности и уникальности своего пароля, к тому же записи о смене пароля и перезагрузке в логе выполненных задач были, а следов входа в админку во время взлома не было.
После эскалации проблемы и более тщательного расследования специалисты Linode подтвердили факт взлома и сообщили, что злоумышленник воспользовался веб-интерфейсом для персонала поддержки (что позволяет выдвинуть версию инсайда). Скомпрометированные учетки были заблокированы, все пострадавшие уведомлены. Все жертвы были так или иначе связаны с Bitcoin, то есть атака была целенаправленной и спланированной. Всего жертв оказалось восемь, самой крупной оказалась биржа Bitcoinica, потерявшая 43 554 BTC или приблизительно 200 тысяч долларов по текущему курсу.
Linode опубликовал короткое сообщение об инциденте (более развернутое официальное заявление ожидается). В нем заверяется, что другие пользователи сервиса, кроме этих восьми, никак не пострадали; ни пароли пользователей к Linode Manager, ни информация о кредитных картах не были скомпрометированы.
Bitcoinica заверила, что все потери принимает на себя и ее пользователей это никак не коснется. На взломанном сервере не было никаких важных паролей или данных пользователей. В случае с пулом mining.bitcoin.cz есть вероятность утечки базы пользователей. И, хотя пароли хранились в виде хешей (SHA1 с солью), пользователям рекомендуется их сменить.
1. У всякой монеты две стороны, в том числе и у анонимной Bitcoin. С одной стороны, никто не сможет проследить и доказать, что это именно ты продал вчера 10 кг героина на SilkRoad (и отослал половину навара в поддержку Wikileaks). С другой стороны, ты сидишь и видишь, как утекают твои биткоины. Транзакция Bitcoin событие не мгновенное, она подтверждается по мере распространения информации по сети (что само по себе достойно философского осмысления). И даже знаешь, куда именно утекают, на какой кошелек. Но сделать ничего не можешь. И тут даже ФСБ с Интерполом не поможет.
2. Не клади все яйца в одну корзину. Slush молодец, он так и делал, его основные фонды находились в «оффлайне», то есть на зашифрованном кошельке, а на рабочем была только сумма, минимально необходимая для поддержания работы пула. Потерять 12К евро конечно очень обидно, это многие месяцы работы всех пользователей пула. Но это лучше, чем потерять все.
3. Если ворочаешь сотнями тысяч долларов, пусть и виртуальных, думай о безопасности всерьез. Возможно дешевый VPS в публичном облаке не самая лучшая инфраструктура для этого.
4. Биткоины таки набирают ликвидность, раз их воруют.
Первым заметил следы атаки владелец одного из известных майнинг-пулов mining.bitcoin.cz Marek Palatinus, известный в bitcoin-кругах под ником slush. Как он пишет в своем блоге, рано утром он получил SMS о том, что баланс кошелька, используемого его пулом для выплаты намайненных монет, опустился ниже установленного порога. Начав разбираться, в чем дело, он увидел, что 3094 монеты были переведены на некий кошелек (здесь можно увидеть эту транзакцию.) Быстрая проверка работающих сервисов пула не выявила никаких следов взлома. Однако затем он обнаружил, что два из его серверов на Linode были перезагружены и на них изменен рутовый пароль. (На одной из этих виртуалок и хранился bitcoin кошелек.) Сделано это было из админки (Linode Manager), Slush тут же обратился в поддержку Linode, которая поначалу никак не могла объяснить произошедшее, кроме как компрометацией пароля от админки. Но slush был уверен в сложности и уникальности своего пароля, к тому же записи о смене пароля и перезагрузке в логе выполненных задач были, а следов входа в админку во время взлома не было.
После эскалации проблемы и более тщательного расследования специалисты Linode подтвердили факт взлома и сообщили, что злоумышленник воспользовался веб-интерфейсом для персонала поддержки (что позволяет выдвинуть версию инсайда). Скомпрометированные учетки были заблокированы, все пострадавшие уведомлены. Все жертвы были так или иначе связаны с Bitcoin, то есть атака была целенаправленной и спланированной. Всего жертв оказалось восемь, самой крупной оказалась биржа Bitcoinica, потерявшая 43 554 BTC или приблизительно 200 тысяч долларов по текущему курсу.
Linode опубликовал короткое сообщение об инциденте (более развернутое официальное заявление ожидается). В нем заверяется, что другие пользователи сервиса, кроме этих восьми, никак не пострадали; ни пароли пользователей к Linode Manager, ни информация о кредитных картах не были скомпрометированы.
Bitcoinica заверила, что все потери принимает на себя и ее пользователей это никак не коснется. На взломанном сервере не было никаких важных паролей или данных пользователей. В случае с пулом mining.bitcoin.cz есть вероятность утечки базы пользователей. И, хотя пароли хранились в виде хешей (SHA1 с солью), пользователям рекомендуется их сменить.
Мораль истории
1. У всякой монеты две стороны, в том числе и у анонимной Bitcoin. С одной стороны, никто не сможет проследить и доказать, что это именно ты продал вчера 10 кг героина на SilkRoad (
2. Не клади все яйца в одну корзину. Slush молодец, он так и делал, его основные фонды находились в «оффлайне», то есть на зашифрованном кошельке, а на рабочем была только сумма, минимально необходимая для поддержания работы пула. Потерять 12К евро конечно очень обидно, это многие месяцы работы всех пользователей пула. Но это лучше, чем потерять все.
3. Если ворочаешь сотнями тысяч долларов, пусть и виртуальных, думай о безопасности всерьез. Возможно дешевый VPS в публичном облаке не самая лучшая инфраструктура для этого.
4. Биткоины таки набирают ликвидность, раз их воруют.