2 августа примерно в 21 час по московскому времени биткоин-биржа Bitfinex опубликовала заявление об обнаруженной уязвимости, в результате которой часть пользователей лишились своих биткоинов. При этом как торги, так и ввод/вывод депозитов были приостановлены, и на момент публикации сайт биржи пребывает в офлайне.
Спустя некоторое время директор Bitfinex по развитию и связям с общественностью Зейн Такетт (Zane Tackett) официально подтвердил потерю 119756 биткоинов, что по текущему, упавшему на фоне новости, курсу составляет порядка 65 миллионов долларов США.
Биржа Bitfinex зарегистрирована в 2012 году в Гонконге, также имеет офисы в Европе и США. До взлома она была одной из ведущих в мире криптовалютных торговых площадок с максимальным объемом торгов в паре BTC/USD. На прошлой неделе на Bifinex была добавлена криптовавлюта Ethereum Classic (ETC) и запущена маржинальная торговля в парах ETC/BTC и ETC/USD.
По словам Такетта, хакеру удалось вывести только биткоины, ни фиатные депозиты, ни балансы в других криптовалютах не пострадали. Тем не менее, доступ на биржу для трейдеров по-прежнему закрыт.
С июня текущего года Bitfinex хранит биткоины пользователей на кошельках BitGo, позволявших бирже обеспечивать индивидуальные для каждого пользователя кошельки с мультиподписью. Биржа использовала уникальный набор ключей для каждого трейдера, что, по заявлению сервиса, должно было «значительно снизить большинство рисков нарушения безопасности и одновременно позволяя пользователям в любой момент проверить свой баланс в блокчейне биткоина».
Используя такую систему, биржа в свое время отказалась от использования как «горячих» (операционных), так и «холодных» (офлайн) кошельков для хранения средств инвесторов. «Один ключ у нас, другой у BitGo, третий хранится в офлайне», — пояснил Такетт, отвечая на вопросы пользователей Reddit.
У нас не было ни горячих, ни холодных кошельков после интеграции системы BitGo. Вместо этого, для каждого пользователя создается его собственный кошелек с лимитами на вывод средств. Мы по-прежнему выясняем, как хакеру удалось обойти такую систему защиты. — Зейн Такетт, директор Bitfinex по развитию и связям с общественностью
Несмотря на то, что у BitGo имелась страховка от группы компаний XL Group на случай кражи биткоинов, она едва ли сможет покрыть убытки трейдеров Bitfinex. Отвечая на вопросы пользователей Reddit, Такетт подтвердил, что произошедший взлом не попадает под страховой случай. «Мы будем рассматривать различные варианты компенсации потерь клиентов биржи в рамках дальнейшего расследования», — написал он в одном из постов.
Кроме того, представители биржи сообщили, что открытые маржинальные позиции на аккаунтах, пострадавших от кражи, будут закрыты по курсу на момент обнаружения взлому.
Bitfinex взламывают не первый раз. В мае 2015 года на бирже также была обнаружена уязвимость. Тогда хакеру удалось увести с «горячего» кошелька биржи более 1500 BTC, что, однако, составляло всего лишь порядка 0,5% средств биржи.
Можно вспомнить, что совсем недавно сайт биржи приостанавливал работу. Вслед за планируемым техобслуживанием 17 июня, спустя три дня биржа написала о «проблемах на платформе», в результате чего торги были временно приостановлены. Средства пользователей при этом были в сохранности.
Прежде чем возобновить торги, Bitfinex сообщила о «сетевых проблемах в новом датацентре». После более чем шестичасового простоя, торги были запущены, но ненадолго. Спустя еще пять часов, сайт биржи вновь ушел в офлайн еще приблизительно на четыре часа. Также сайт биржи вновь временно отключался на прошлой неделе во время процесса хардфока Ethereum.
Представители биржи уверяют, что делают всё возможное, чтобы ликвидировать последствия взлома. Об инциденте сообщили в правоохранительные органы, в данный момент ведется расследование.
Группа русскоязычных трейдеров, потерявших средства в результате взлома, готовит официальную петицию с целью собрать как можно больше голосов пострадавших и добиться от Bitfinex компенсации:
Мы, инициативная группа под названием Bitpetition, организовали группу в Slack и разрабатываем петицию с целью собрать как можно больше голосов от пострадавшей на данный момент стороны и получить от команды торговой платформы Bitfinex детальную информацию о взломе, сумме украденных денег и сроках, а также условиях возврата пользовательских средств. Также мы хотим добиться того, чтобы весь процесс проходил полностью прозрачно и открыто. Если у вас есть информация, которая может как-либо помочь или же вы являетесь жертвой взлома платформы присоединяйтесь в группу bitpetition.herokuapp.com
Вместе мы обязательно добьемся справедливости!
Мы продолжаем отслеживать события, пост будет обновляться.