Ataque al procesador de pagos de Bitcoin BIPS: más de un millón de dólares robados

El principal procesador de pagos de Bitcoin de Europa para comerciantes y servicio de billetera en línea gratuito. BIPS, fue el objetivo de un importante ataque DDoS y un posterior robo en los últimos días que vio 1.295 BTC (poco más de $ 1 millón en BPI de CoinDesk) robado.

Kris Henriksen, director ejecutivo de BIPS, dijo que la mayoría de los fondos faltantes Los bitcoins eran “de los propios fondos de la empresa”. BIPS utiliza un algoritmo basado en la oferta y la demanda para calcular la cantidad de bitcoins que necesita para KEEP en una “cartera HOT ”. Sin embargo, el robo aparentemente no se debió a ninguna vulnerabilidad en el código en sí.

También dijo que los comerciantes que optaron por convertir instantáneamente sus cuentas bancarias de Bitcoin a moneda fiduciaria no se vieron afectados.

Robo

La empresa con sede en Copenhague, Dinamarca, fue blanco de un ataque DDoS masivo el 15 de noviembre. Luego, el 17 de noviembre, se produjo otro ataque que deshabilitó el sitio y “sobrecargó nuestros conmutadores administrados y desconectó la conexión iSCSI a la SAN en los servidores BIPS”.

“Lamentablemente, a pesar de varias capas de protección, el ataque provocó una vulnerabilidad en el sistema, lo que luego permitió a los atacantes obtener acceso y comprometer varias billeteras”, dijo la compañía en una declaración escrita.

BIPS cree que los dos ataques estaban relacionados y que al menos el ataque DDoS inicial “se originó en Rusia y países vecinos”. La empresa actuó rápidamente para restablecer los servicios de transferencia y pago a comerciantes el 19 de noviembre, pero deshabilitó todas las funciones de la billetera para completar un análisis forense completo. Su servicio de asistencia técnica también estuvo fuera de servicio durante unos días, pero se restableció el 22 de noviembre.

Investigación

Bajo el BIPSRegulación de PrivacidadNo está permitido revelar información de los usuarios a nadie, ni siquiera a las autoridades. Ahora establecerán un sistema para que los usuarios de billeteras afectados firmen voluntariamente los documentos de permiso necesarios para iniciar una investigación más exhaustiva con las fuerzas del orden para rastrear a los culpables.

Henriksen destacó que el procesamiento comercial “se restableció muy rápidamente y, si tenía activada la conversión automática, no hay nada de qué preocuparse”.

La declaración oficial de BIPS en su sitio web decía:

Para proteger el exitoso negocio de procesamiento de pagos comerciales, BIPS decidió cerrar temporalmente su iniciativa de billeteras para consumidores.





BIPS ha sido objeto de un ataque coordinado y de una violación de seguridad posterior. Se han visto comprometidas varias billeteras de consumidores y BIPS se pondrá en contacto con los usuarios afectados.



Como consecuencia, BIPS cerrará temporalmente la iniciativa de billeteras para centrarse en el negocio de procesamiento de transacciones comerciales en tiempo real, que no incluye el almacenamiento de bitcoins. Posteriormente, BIPS considerará reintroducir la iniciativa de billeteras con un modelo de seguridad rediseñado.



La iniciativa de billeteras para consumidores no ha sido el negocio CORE de BIPS y, como tal, lamentablemente haber afectado a varios usuarios no ha afectado la adquisición por parte de comerciantes de BIPS.



Se solicitará a todos los usuarios existentes que transfieran bitcoins a otras soluciones de billetera y se contactará a los usuarios afectados por la violación de seguridad.

Sin embargo, la restauración de los servicios comerciales no ayudó a tranquilizar a los propietarios de billeteras individuales.Foro de Bitcoin TalkVarios usuarios expresaron su enojo ante la perspectiva de perder sus fondos y ante lo que consideraron declaraciones poco claras de BIPS sobre exactamente qué había sido robado, a quién y cuánto.

Un miembro Incluso creadoun ‘formulario de registro para demanda potencial de bips.me’ para que los usuarios ingresen sus datos de contacto y la cantidad de bitcoins faltantes, en un esfuerzo por impulsar una solución negociada.

Aunque el ataque y el robo ponen de relieve los problemas de seguridad que han tenido algunos servicios de billetera en línea, es significativo dada la base de usuarios comparativamente grande de BIPS y su prominencia en el mercado. Además de las cuentas en línea, BIPS también había ofrecido una función de billetera de papel para aquellos que deseaban una solución de almacenamiento a largo plazo más segura.