2 августа примерно в 21 час по московскому времени биткоин-биржа Bitfinex опубликовала заявление об обнаруженной уязвимости, в результате которой часть пользователей лишились своих биткоинов. При этом как торги, так и ввод/вывод депозитов были приостановлены, и на момент публикации сайт биржи пребывает в офлайне.
Спустя некоторое время директор Bitfinex по развитию и связям с общественностью Зейн Такетт (Zane Tackett) официально подтвердил потерю 119756 биткоинов, что по текущему, упавшему на фоне новости, курсу составляет порядка 65 миллионов долларов США.
Биржа Bitfinex зарегистрирована в 2012 году в Гонконге, также имеет офисы в Европе и США. До взлома она была одной из ведущих в мире криптовалютных торговых площадок с максимальным объемом торгов в паре BTC/USD. На прошлой неделе на Bifinex была добавлена криптовавлюта Ethereum Classic (ETC) и запущена маржинальная торговля в парах ETC/BTC и ETC/USD.
По словам Такетта, хакеру удалось вывести только биткоины, ни фиатные депозиты, ни балансы в других криптовалютах не пострадали. Тем не менее, доступ на биржу для трейдеров по-прежнему закрыт.
С июня текущего года Bitfinex хранит биткоины пользователей на кошельках BitGo, позволявших бирже обеспечивать индивидуальные для каждого пользователя кошельки с мультиподписью. Биржа использовала уникальный набор ключей для каждого трейдера, что, по заявлению сервиса, должно было «значительно снизить большинство рисков нарушения безопасности и одновременно позволяя пользователям в любой момент проверить свой баланс в блокчейне биткоина».
Используя такую систему, биржа в свое время отказалась от использования как «горячих» (операционных), так и «холодных» (офлайн) кошельков для хранения средств инвесторов. «Один ключ у нас, другой у BitGo, третий хранится в офлайне», — пояснил Такетт, отвечая на вопросы пользователей Reddit.
У нас не было ни горячих, ни холодных кошельков после интеграции системы BitGo. Вместо этого, для каждого пользователя создается его собственный кошелек с лимитами на вывод средств. Мы по-прежнему выясняем, как хакеру удалось обойти такую систему защиты. — Зейн Такетт, директор Bitfinex по развитию и связям с общественностью
Несмотря на то, что у BitGo имелась страховка от группы компаний XL Group на случай кражи биткоинов, она едва ли сможет покрыть убытки трейдеров Bitfinex. Отвечая на вопросы пользователей Reddit, Такетт подтвердил, что произошедший взлом не попадает под страховой случай. «Мы будем рассматривать различные варианты компенсации потерь клиентов биржи в рамках дальнейшего расследования», — написал он в одном из постов.
Кроме того, представители биржи сообщили, что открытые маржинальные позиции на аккаунтах, пострадавших от кражи, будут закрыты по курсу на момент обнаружения взлому.
Bitfinex взламывают не первый раз. В мае 2015 года на бирже также была обнаружена уязвимость. Тогда хакеру удалось увести с «горячего» кошелька биржи более 1500 BTC, что, однако, составляло всего лишь порядка 0,5% средств биржи.
