У биржевых хакеров снова наступила «ломка»…

    или взломана ещё одна bitcoin-биржа.



    День бабла” продолжается

    Итак, на сей раз жертвой хакеров стала биржа BTC-E. Админ биржи оказался скуп на комментарии и в новостях сайта никакого события не значится, но я имел возможность наблюдать за разворачивающимися событиями.

    Всех (кроме, конечно, самого хакера) удивил резкий взлёт курса Биткойна на одной бирже BTC-E. Он вырос до $40 за 1 BTC, и пошёл выше, дойдя до $80. Это вызвало шоковую реакцию людей (см. скриншот), некоторые особо рисковые даже успели сбыть свои ненаглядные БТЦ за дорого, а потом снова скупить по дешевке. Метод взлома пока точно не ясен, но большинство сходится на том, что это получение ограниченного доступа к базе через банальный SQL injection и создание фейковых LibertyReserve USD на счету хакера, с последующей скупкой биткойнов и выводом их. Это и объясняет такой стремительный взлёт, т.к. злоумышленник скупал абсолютно всё (BTC, LTC, и т.д.) по любой цене.

    image

    BitInstant заверяет, что их резервы не пострадали. Разработчики BTC-E также заверяют, что только “ими [хакерами] был выведен только небольшой объём BTC. Они сделали фейковый депозит LibertyReserve-долларов, купили BTC и вывели их. Сейчас мы откатываем торги на бирже”.
    Биржа была отключена до 14:00 по Московскому времени.

    Об объёме кражи можно судить по данным от bitcoincharts.com, которые показывают (UPD: они уже убрали эти данные), что в сумме за время взлома было проторговано около 55 тыс. BTC.
    Конечно, не факт, что все эти деньги успели вывести (было бы удивительно, если BTC-E хранило их все в “горячем” кошельке), но всё-равно объём впечатляет.

    UPD: Буквально несколько минут назад наконец появился официальный комментарий, в котором написано, что взлом произошёл через компрометацию секретного ключа интерфейса с LibertyReserve и было украдено примерно 4500 BTC.
    Вопросы тем не менее всё-равно возникают, т.к.
    а) подобрать брут-форсом 16 символьный ключ, мягко говоря, не очень легко, и
    б) помимо секретного ключа надо знать ещё и имя LibertyReserve API, без знания которого ничего не получится.

    Всё-таки что-то они недоговаривают.

    Кстати, поэтому многие биржи (в том числе и icbit) не работают с LibertyReserve напрямую, а используют проверенных посредников, которые занимаются исключительно вводом-выводом денежных средств разных валют на протяжении многих лет.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 18

      0
      Я так понимаю, все фейковые LibertyReserve-доллары теперь просто сгорят? Или все таки была возможность перевести их в реальные доллары?
        +3
        Скорее всего биржу заставили поверить, что эти доллары были, и продать за эти фейковые доллары настоящие биткоины.
          0
          Это понятно, но фейковые доллары просто перешли в другие руки, так и не став настоящими. Вопрос в том, что с ними будет дальше
            0
            Сейчас мы откатываем торги на бирже
            Если откатили торги, значит ни у кого не украдено ничего… пострадала только биржа на указанный объем bitcoin.
        +1
        Цитаты:
          +2
          «Всем будет без исключения возвращены USD и BTC из нашего резервного фонда!»

          «Торги будут отключены в период пока балансы не будут совпадать с теми которые были до обрушения торгов + балансы который были у пользователей после обрушения торгов»

          Я так понимаю, что будет откат транзакций до состояния перед всей этой каруселью.
            +1
            Сейчас мы откатываем торги на бирже
          +27
          Работаю с Liberty API и могу сказать, что обработку платёжки на бирже явно писали идиоты.
          Это вообще касается работы с любой платёжной системой — намалюют абы как (или поставят стандартный скрипт-пример от самой платёжки) и потом удивляются.
          Для того, что бы такого не происходило, желательно по возможности заюзать следующие советы (некоторые системы не поддерживают определённый функционал, либо наоборот имеют дополнительные средства — в любом случае стоит их использовать по максимуму):
          1. Использовать HTTPS
          2. Устанавливать ссылку на обработчик нотификаций в настройках мерчанта и никогда не ставить его в виде параметра в форме (не для всех платёжек такое возможно, но их слава богу мало).
          3. Не держать обработчик нотификаций на том же домене и с очевидным адресом. Сделайте пару неговорящих ни о чем поддоменов и используйте один из них, либо зарегистрировать вообще отдельный домен под это дело. Путь к скрипту обработки не должен угадываться на раз, все попытки неправильных запросов отфутболивать как 404.
          4. Внимательно проверять статусы транзакций, соотвествие валют, соотвествие суммы записаной в транзакции и той, что пришла в нотификации.
          5. Обязательно вести лог действий над транзакцией, любые несоотвествия нещадно и подробно логировать. Потом спасибо сами себе скажите.
          6. Ограничить доступ по IP, что-бы доступ имел только сервер платёжной системы. Но нужно учитывать, что иногда IP меняются, так что нужно обязательно нотифицировать себя при несовпадении и подробно логировать то, что пришло, что бы обработать транзакции в ручную если нужно (и хотя обычно платёжки повторяют запрос через некоторое время, надеятся на это не стоит).
          7. У большинства платёжек можно задавать свои кастомные поля — используйте их. Впихните туда 1-2 хеша посложнее (только не MD5, а что-нить типа SHA256 или покруче) с параметрами, о которых знает только ваша система и они нигде публично не фигурируют, да и алгоритм составления этого хеша узнают только если вас капитально сломают и утянут код — эти хеши очень сильно повышают надёжность транзакций, т.к. если хоть один параметр не совпадёт — хеш валидацию не пройдёт.
          8. Статусы транзакций должны быть реализованы таким способом, что бы если нотификация пришла и была успешно обработана и получила финальный статус success/failed — то сменить скажем failed на success уже нельзя было бы через нотификацию, если кто-то всё же сумеет подделать запрос. Само собой нужно учитывать особенности самой системы — бывают и chargeback, и всякие pending и тому подобное. Так же бывает что failed реально может смениться на success — в таких случаях саппорт должен быть нотифицирован и транзакция должна проверяться в ручную.
          9. В некоторых платёжках доступен API для работы с историей операция — юзайте! Это весьма надёжный способ проверить, а был ли мальчик
            –1
            Cкрытая реклама MtGox :)
              +7
              MtGox рекордсмен по числу взломов, наверное :)
                0
                у mtgox проблемы по серьезнее — невероятно долгие сроки вывода (21 суток, и это не рекорд), по сравнению с btc-e (сутки) это небо и земля.
                +2
                Ой, вы не заметили, там иконочка icq, точно скрытая реклама аськи.
                  0
                  Я им сейчас такую рекламу устрою, что владелец в кровати перевернется! Он и без взломов как-то раз обнулил все аккаунты вместе с историей (в том числе и мой) и заявил, что «фантики» возвращать не собирается.
                    +1
                    Извините, был напуган ))
                    Это я про btcex.com.

                    Про MtGox могу сказать, что их действительно много раз ломали.
                  +1
                  Уже лучше, кошелки хоть не уносят…
                  • UFO just landed and posted this here
                      0
                      Хуяссе :) откуда дата про продажу исходников?
                      • UFO just landed and posted this here

                    Only users with full accounts can post comments. Log in, please.