Silk Road 2 perde oltre 2,6 milioni di dollari in Bitcoin in un presunto attacco hacker

Il sito web del mercato nero Silk Road 2 ha detto ai clienti che tutti i loro bitcoin sono spariti dopo un massiccio hack, in cui almeno 4.476 bitcoin (del valore attuale di oltre 2,6 milioni di dollari) sono stati rubati.prezzi) si ritiene siano stati rubati. Gli organizzatori del sito stanno dando la colpa del compromesso all'attacco di malleabilità delle transazioni nelle notizie di questa settimana.

"Le nostre indagini iniziali indicano che un fornitore ha sfruttato una vulnerabilità recentemente scoperta nel protocollo Bitcoin , nota come "malleabilità delle transazioni", per prelevare ripetutamente monete dal nostro sistema fino a svuotarlo completamente", si legge in un post di Defcon, ONE dei moderatori del sito, su un forum situato sulla rete Tor.

Il post ha aggiunto che i ladri hanno attaccato dopo che gli organizzatori del sito hanno impiegato troppo tempo per rispondere alla preoccupazione diffusa del settore sull'attacco di malleabilità delle transazioni. "Nonostante le nostre procedure di rafforzamento e pentesting, questo vettore di attacco era al di fuori dell'ambito del penetration testing perché radicato nel protocollo Bitcoin stesso", ha affermato.

In genere, i buoni principi di sicurezza vorrebbero che un sito web basato su bitcoin mettesse la maggior parte dei bitcoin sotto gestione in cold storage (ovvero archiviati offline), in modo che non possano essere rubati da aggressori online. Tuttavia, il post diceva che erano tutti archiviati online, a causa degli sviluppi back-end sul sito.

"Stavamo pianificando di rilanciare il nuovo auto-finalize e Dispute Center lo scorso weekend", ha detto Defcon nel post. L'implementazione delle due funzionalità avrebbe aumentato il volume degli ordini in fase di finalizzazione, facendo sì che il sito rendesse immediatamente disponibili tutti i bitcoin.

Il post è stato accompagnato da profuse scuse. "Avrei dovuto seguire l'esempio di MtGox e Bitstamp e disabilitare i prelievi non appena è stato segnalato il problema di malleabilità. Sono stato lento a rispondere e troppo scettico sul possibile problema in questione", ha affermato Defcon, prima di pubblicare le transazioni fraudolente e chiedere aiuto alla comunità per arrestare il presunto ladro.

Il post suggeriva che i portafogli escrow (che trattengono i fondi fino alla consegna della merce) erano stati compromessi. ONE cosa che T era chiara era se i portafogli personali degli utenti (che trattengono i fondi che sono stati caricati ma non spesi, o ricevuti dai clienti ma non prelevati) fossero stati rubati.

Alcuni post sui forum suggerivano che anche loro fossero stati compromessi. "Sembra così almeno nel mio caso. Mentre solo .1286 BTC (depositati ieri sera) riesco a vedere una transazione sulla blockchain che ha inviato un pagamento a un indirizzo e io non ho effettuato alcuna transazione del genere", ha affermato ONE utente, che si fa chiamare 'UncleFester'.

"Blockchain mostra che il mio portafoglio SR è svuotato. Quindi - escrow e portafogli sono tutti spariti :-(," ha detto un altro, 'meathead_420'.

Altri hanno ipotizzato che tutte le monete rimanenti potrebbero essere state rimosse dal server di Silk Road 2 mentre la situazione veniva risolta.

Come è successo?

Ciò che non è ancora chiaro è come un attacco di malleabilità delle transazioni possa aver portato allo svuotamento completo di un conto di deposito a garanzia. L'attacco consiste nel modificare l' ID di una transazione Bitcoin , per far credere al mittente che T sia successo.

[post-citazione]

Come noidettagliato all'inizio di questa settimana, cambiare semplicemente l' ID T è sufficiente a causare il furto di una moneta. L'individuo o l'organizzazione che invia i bitcoin (in questo caso, Silk Road) dovrebbe presumibilmente rispedire le monete immediatamente e automaticamente in caso di reclamo fraudolento da parte di un cliente, e dovrebbe notare che quasi 5000 bitcoin stavano scomparendo dai suoi conti di deposito a garanzia senza sollevare un sopracciglio.

"Mi dispiace defcon ma se mt gox e bitstamp avessero avuto la lungimiranza di annullare i prelievi mentre si occupavano del bug. Perché non avete preso le stesse misure?" ha chiesto 'Soloist'.

"Perché ci è volutoper sempre per spostare fondi dentro e fuori dal mio portafoglio ma ogni singolo BIT di BTC scompare in un batter d'occhio?" ha affermato 'garconSR2' in risposta al post di Defcon.

Gli esperti tecnici erano perplessi e scettici. "I criminali commetterebbero stupidi errori? Infinitamente fattibile. La maggior parte dei siti deep web come questo sono probabilmente honeypot o truffe long-con", ha affermato Jeff Garzik, sviluppatore CORE Bitcoin .

Defon ha fornito alcuni dettagli dell'attacco, spiegando che qualcuno, probabilmente operante in Francia, ha utilizzato diversi account di venditori per ordinare gli uni dagli altri, per trovare e sfruttare la vulnerabilità. L'account principale era denominato "narco93", si legge nel post.

Defcon si è offerto di aiutare i più a rischio di furto utilizzando i suoi fondi personali. Almeno ONE utente, dimon114, sembrava in difficoltà. "Se i miei fornitori T hanno spedito ciò che ho ordinato, ora sono in serio pericolo fisico", ha detto.

Mentre molti hanno messo in dubbio l'onestà della storia, altri si sono avventati sulle prove fornite da Defcon per cercare di scoprire maggiori dettagli. ONE utente ha trovato un portafoglio online che, secondo lui, potrebbe essere una probabile destinazione per i fondi. Questo portafoglio blockchainsembra aver ricevuto 8566 bitcoin in 60 transazioninegli ultimi due giorni. Poco più della metà di loro sono ancora lì al momento in cui scrivo. Non ci sono prove che questo portafoglio sia stato utilizzato da un presunto ladro Bitcoin in questa fase.

Utente anonimoimmagine tramite Shutterstock