Análisis: Un hacker de Bitstamp casi robó 1,75 millones de dólares adicionales

Bitstamp evitó por poco perder 1,75 millones de dólares adicionales en Bitcoin durante su reciente hackeo, según un análisis de blockchain realizado por un investigador independiente.

En las últimas horas de un robo de 5,1 millones de dólares que tuvo lugar en el exchange hace cinco días, los 1,75 millones de dólares en Bitcoin se trasladaron rápidamente a un DIRECCIÓNSe cree que Bitstamp lo utiliza para almacenamiento en frío, según descubrió el analista Danno Ferrin.

CoinDesk puede confirmar que la dirección en cuestión estaba controlada por Bitstamp hasta el 2 de diciembre. El director ejecutivo de la firma, Nejc Kodric, declaró entonces que la dirección se estaba utilizando durante una auditoría. Si bien el director ejecutivo indicó que los datos se harían públicos en la semana del 8 de diciembre, la plataforma no ha publicado los resultados de la auditoría desde entonces. 24 de mayo.

Ferrin, que publica su análisis de blockchain en su blogCriptocrujiente, dijo que los fondos rescatados probablemente provenían de los cientos de direcciones que la plataforma de intercambio utilizaba para aceptar depósitos de clientes. Esas direcciones parecen formar la "billetera operativa", según Bitstamp.comprometidael 4 de enero, lo que dio lugar a un robo de 5,1 millones de dólares.

Según el análisis de Ferrin, los datos de transacciones en la cadena de bloques vinculan los fondos que salen de la billetera operativa de Bitstamp hacia la dirección de "auditoría" de Bitstamp, así comootra direcciónque se presume ampliamente que está controlado por el ladrón.

Si Ferrin tiene razón, entonces un total de 6,6 millones de dólares en fondos de Bitstamp estaban en riesgo de ser robados, aunque el exchange logró rescatar aproximadamente una cuarta parte de los fondos en el último momento.

"Podría haber sido peor", escribió Ferrin.

Oleada de transacciones

El hackeo parece haber comenzado en la madrugada del 4 de enero, cuando se transfirieron 3100 BTC a la billetera robada. Los fondos fluyeron de forma constante durante las siguientes 16 horas. A las 16:00, la dirección tenía un saldo de más de 6000 monedas.

Luego, las entradas se aceleraron. A finales del 4 de enero y en las primeras horas del día siguiente, se depositaron 12.000 monedas adicionales en la billetera robada.

En este punto, Bitstamp pareció comenzar a extraer fondos de su billetera HOT , colocándolos fuera del alcance de los piratas informáticos.

Los fondos rescatados fueron transferidos a la dirección de almacenamiento en frío en una ráfaga de transferencias que tuvieron lugar durante aproximadamente 30 minutos y en las que se depositaron 4.200 BTC .

La dirección del exchange recibió dos transacciones de 1000 BTC a las 00:54 del 5 de enero. Unos 15 minutos antes, ya había recibido 22 transferencias de 100 BTC. Las grandes transferencias continuaron hasta la 01:06, cuando se depositaron cuatro bloques adicionales de 100 BTC .

En total, eldirección de almacenamiento en frío recibió un total de 6.478 BTC, por un valor aproximado de 1,8 millones de dólares, el 5 de enero. El dirección de robotenía 18.977 bitcoins en su apogeo.

Carrera para conseguir fondos

Una explicación de lo que ocurrió el 4 y 5 de enero es que el exchange estaba en una carrera con el intruso para sacar fondos de la billetera HOT .

El ladrón parecía tener acceso a todas las direcciones en la billetera HOT de Bitstamp, dice Ferrin, porque algunas transacciones muestran que la billetera robada genera un 'cambiar dirección' a la que posteriormente accedió Bitstamp.

Un ejemplo destacado en el blog de Ferrin muestra el envío de 32 BTC a la dirección robada. Esta transacción generó una dirección de cambio con aproximadamente 0,64 BTC. Unos 40 minutos después, esta dirección de cambio se vació, formando parte de una transacción por un total de 10 BTC a la dirección de almacenamiento en frío de Bitstamp.

Por lo tanto, la billetera del ladrón creó una dirección de cambio a la que Bitstamp también podía acceder. Esto sugiere que el ladrón había obtenido el control de los sistemas internos de Bitstamp que controlaban su billetera HOT , y no solo de sus claves privadas, afirmó Ferrin, y añadió:

"Sabían que estaban en una carrera entre ellos para reclamar lo que quedaba sobre la mesa".

El análisis “tiene sentido”

Ferrin escribió un software llamadoNumisightRealizar análisis de blockchain como pasatiempo. Su trabajo diario es en un equipo de implementación de software en el gigante del software empresarial Oracle. Dice que tiene la intención de lanzar su software pronto.

Un investigador de seguridad que ha leído el análisis de Ferrin coincide con sus conclusiones.

Kristov ATLAS, quien inició el Proyecto de Privacidad de Open Bitcoin, afirmó que la secuencia de transacciones era consistente con la idea de que Bitstamp recuperó aproximadamente una cuarta parte de los fondos en riesgo. Añade que la evidencia sigue sin ser concluyente sobre cómo el intruso vulneró los sistemas de Bitstamp.

"El cronograma en el que Bitstamp trabajó para almacenar monedas en frío en las últimas horas del ataque tiene sentido", dijo ATLAS .

Detalles inexplicables

Sin embargo, varios otros detalles de las transacciones de ataque publicadas en la cadena de bloques continúan desconcertando a analistas como Ferrin.

Varias transacciones a la billetera robada conllevaban comisiones de minero elevadas, de hasta 1 BTC . En muchos casos, estas comisiones no habrían aumentado la prioridad de la transacción, ya que los montos ya eran lo suficientemente altos como para otorgarle alta prioridad entre los mineros.

Los mineros valoran unprioridad de la transacciónsopesando su tamaño y antigüedad, antes de considerar los costos de transacción asociados.

Otro problema es lo que parece ser una actividad continua y robos en la billetera HOT de Bitstamp. Tan solo el 8 de enero, seguían FLOW monedas a la billetera robada, desde lo que Ferrin y otros suponen son direcciones donde los clientes de Bitstamp depositan fondos.

La decisión del ladrón de transferir todos los fondos mal habidos a una ONE dirección también es ONE, dice Ferrin.

Canalizar una cantidad tan grande de monedas a una ONE dirección fomenta el escrutinio de la cadena de bloques. También podría dificultar que el ladrón gaste las monedas sin ser detectado.

"Enviarlo todo a una ONE dirección fue un grave error", dijo Ferrin. "Si las monedas se hubieran vendido en una plataforma de intercambio, se les habría pedido que lo explicaran. Habrían dejado un rastro".

Monedas robadas en movimiento

Las monedas robadas ya están en movimiento. La dirección original del robo ha sido prácticamente vaciada, quedando solo 90,6 BTC . Los fondos se han distribuido a docenas de nuevas direcciones: 47 según el último recuento de Ferrin, el 7 de enero.

Ahora parece que una pequeña cantidad de monedas han sido enviadas a un mezclador de monedas, lo que haría más difícil para los futuros compradores de las monedas rastrearlas hasta el robo de Bitstamp.

Pero no importa dónde terminen las monedas robadas, las transacciones relacionadas con el robo ahora permanecerán disponibles públicamente en la cadena de bloques.

"Antes ocurrían cosas en las habitaciones llenas de humo que nadie se enteraba. Ahora, la cadena de bloques ofrece la oportunidad de retroceder en el tiempo y demostrarlas. Es como si la luz del sol fuera el mejor desinfectante", dijo Ferrin.

Corrección: Ferrin podría publicar su software, pero KEEP el código fuente propietario. Una versión anterior de este artículo decía erróneamente que haría su software de código abierto.