В январе этого года операционный («горячий») кошелек одной из ведущих биткоин-бирж Европы Bitstamp был взломан, в результате чего хакеру удалось похитить биткоинов примерно на $5 млн, на фоне чего курс криптовалюты заметно просел.
Конечно, это нанесло значительный удар по репутации Bitstamp, но, тем не менее, биржа смогла довольно быстро возобновить работу, вдобавок сильно усовершенствовав систему безопасности – было полностью обновлено «железо», добавлены мультиподписи для транзакций в операционном кошельке и т.д. На этой неделе анонимный пользователь выложил на Reddit ссылку на отчет, содержащий подробности взлома, его последствия для биржи и другие подробности.
Документ под названием Bitstamp Incident Report, изначально размещенный на сервисе Scribd, датирован 20 февраля 2015, его автором является главный юрисконсульт Bitstamp Джордж Фрост. Отчет представляет собой результат расследования различными правоохранительными органами, включая ФБР и Секретную Службу, а также частное детективное агентство Stroz Friedberg.
В отчете подробно рассказывается о том, как хакеру удалось получить доступ к кошельку биржи. На самом деле, он начал делать попытки еще во второй половине 2014 года, за несколько месяцев до того, как ему это, в конце концов, удалось. Он занимался тем, что рассылал различные фишинговые сообщения в Skype сотрудникам Bitstamp, но что интересно, это не было типичным спамом, текст каждого сообщения злоумышленник готовил персонально под каждого получателя, что говорит о том, что он серьезно «прошерстил» профили работников биржи.
Первой жертвой мошенника стал, как ни странно, технический директор биржи по имени Дамиан Мерлак, который, не сумев заподозрить неладное, открыл прикрепленный к сообщению документ MS Word, содержащий вредоносный VBA-скрипт. Тем не менее, в этот раз все обошлось, Мерлак был не единственным сотрудником, кто открывал документ, запуская скрипт, но это все равно не давало хакеру доступ к средствам биржи.
На этом злоумышленник не остановился, и когда документ из его сообщения (в этот раз уже по электронной почте) открыл системный администратор Bitstamp по имени Лука Кодрич, это уже привело к большим неприятностям. В отличие от всех сотрудников, кто открывал вредоносный документ, только у его компьютера был доступ к кошельку, что в итоге и открыло дорогу хакеру, позволив ему совершить кражу биткоинов.
Из отчета:
Логи SSH показывают, что 29 декабря 2014 года г-н Кодрич авторизовался на серверах LNXSRBTC и DORNATA, находящимися в дата-центре. Г-н Кодрич настаивал, что в этом случае под его учетной записью осуществлял вход атакующий. Анализ логов показал, что атакующий получил доступ к серверу LNXSRVBTC, где хранился файл wallet.dat, и серверу DORNATA, где хранился пароль для биткоин кошелька, прежде чем перенаправить оба сервера на IP 1**.**.***.**8, диапазон которого принадлежит одному из провайдеров Германии. Мы подозреваем, что атакующий скопировал файл биткоин кошелька и пароль на этом этапе, что в дальнейшем позволило ему похитить биткоины с кошелька.
По данным отчета, подозреваемый был идентифицирован, но расследование затрудняет то, что он находится на территории другой юрисдикции, где правоохранительным органам сложно до него добраться. Сообщается, что они ждали возможности «перехватить» его в государстве, где местные власти оказали бы им сотрудничество, но на данный момент не всплывало информации о том, был кто-то арестован или нет.
В отчете также сообщается, что Bitstamp стала одной из первых биткоин-бирж, использующих мультиподписи даже для «холодного» (офлайн) хранилища биткоинов. Благодаря этому, были потеряны биткоины только с «горячих» кошельков, баланс на которых составлял лишь небольшую долю средств биржи. Во время атаки биткоины в «холодных» кошельках не пострадали.
Фрост также отмечает, что биржа серьезно улучшила и продолжает улучшать систему безопасности. Чтобы избежать аналогичных атак в будущем, Bitstamp заключила партнерство с компанией безопасных биткоин-кошельков BitGo для введения мультиподписи транзакций в операционных кошельках. Кроме того, по информации в отчете, биржа обратилась за услугой безопасного хранилища биткоинов в компанию Xapo.
С отчетом можно ознакомться по ссылке.
