Взлом Bitfinex поставил под сомнение надежность технологии Multisig
Аккаунты клиентов гонконгской биржи были защищены технологией мультиподписи. Провайдером услуг безопасности выступала компания BitGo. Однако этих мер оказалось недостаточно, чтобы предотвратить кражу почти 120 тысяч биткойнов.
Накануне Bitfinex сообщила о массированной атаке, в результате которой были украдены 119756 BTC (более $73 млн на момент атаки). Биржа сообщила о приостановке всех операций и привлекла к расследованию правоохранительные органы. BitGo, в свою очередь, заявила, что их сервера не были взломаны.
Впрочем, как отмечают пользователи Reddit, заявления о защите с помощью мультиподписи в случае Bitfinex были скорее маркетинговым ходом — два из трех ключей хранились самой биржей (один в холодном хранилище), а третий — BitGo. Исключение было сделано лишь для американских пользователей — они получили третий ключ в свое распоряжение после предупреждения комиссии по биржевой торговле и рынкам США в адрес биржи. Для подтверждения транзакции требовалось подтверждение двумя ключами из трех. Если бы скомпрометированными оказались только ключи на стороне Bitfinex, их аккаунты остались бы нетронутыми. Однако как минимум один американский пользователь сообщил, что также стал жертвой кражи.
Согласно действующей модели безопасности, когда пользователь инициировал транзакцию, Bitfinex подписывала ее и отправляла BitGo для верификации. Как следует из нынешней истории, подпись на стороне провайдера осуществлялась автоматически, без какой-либо проверки. Все транзакции были подписаны BitGo, подтвердил представитель биржи Зейн Такетт.
«Я сказал, что, скорее всего, уязвимость была с нашей стороны, а не со стороны Bitgo, я также сказал, что что наш холодный ключ, вероятно, не был скомпрометирован», — написал он в обсуждении.
Как утверждают представители Bitfinex, ее внутренние правила предусматривали лимит на снятие биткойнов, однако система не сработала, причину этого сбоя должно установить расследование. Холодные ключи, хранимые биржей, не были доступны хакеру. Такетт также заверяет, что сотрудники биржи не имели отношения ко взлому — такое подозрение озвучил ряд пользователей Reddit — хотя эта версия и не исключается в расследовании.
Модератор биткойн-сообщества Theymos таже высказался об инциденте. По его мнению, Bitfinex не следовало так сильно доверять BitGo, чья модель безопасности оказалась не на уровне.
«BitGo продает ложное чувство безопасности. У Bitfinex, по-видимому, было налажено прекрасное холодное хранение, но потом их как-то убедили, что BitGo будет безопаснее, хотя на самом деле они продавали за холодное хранение 100% горячее хранение».
«С другой стороны, мне сообщили, что BitFinex была предупреждена об этой уязвимости, BitFinex должны были об этом знать, именно они и потеряли ключи. Таким образом, я бы сказал, что 90% вины лежит на BitFinex, хотя BitGo тоже следует осудить за продажу услуги, которая весьма небезопасна в реальных условиях».
Bitfinex пообещала держать людей в курсе текущих событий настолько оперативно, насколько это возможно: так, представитель компании Зейн Такетт выкладывает информацию в треде Reddit. Он также подтвердил предыдущее заявление, что были украдены только биткойны, в то время как лайткоины, токены ether и прочие активы остались неприкосновенны.
Биткойн потерял 11% стоимости в связи с сообщениями о хакерской атаке, достигнув самого низкого уровня с мая этого года. Участники рынка, опасаясь, что атака на Bitfinex станет первой в череде хакерских нападений на другие криптовалютные биржи, бросились распродавать активы в биткойнах. Объем суточных торгов достиг 601 тысячи биткойнов ($331,3 млн), что почти вдвое выше, чем аналогичный показатель сутками ранее.
Источник: coinfox
