Ang Silk Road 2 ay Nawalan ng Mahigit $2.6 Milyon sa Bitcoins sa Di-umano'y Pag-hack

Ang web site ng dark market na Silk Road 2 ay nagsabi sa mga customer na ang lahat ng kanilang mga bitcoin ay nawala pagkatapos ng isang napakalaking hack, kung saan hindi bababa sa 4,476 bitcoins (nagkakahalaga ng higit sa $2.6m sa kasalukuyan mga presyo) ay pinaniniwalaang ninakaw. Sinisisi ng mga organizer sa site ang kompromiso sa transaction malleability attack sa balita ngayong linggo.

"Ang aming mga paunang pagsisiyasat ay nagpapahiwatig na ang isang vendor ay pinagsamantalahan ang isang kamakailang natuklasang kahinaan sa Bitcoin protocol na kilala bilang "transaction malleability" upang paulit-ulit na mag-withdraw ng mga barya mula sa aming system hanggang sa ito ay ganap na walang laman," sabi ng isang post mula sa Defcon, ONE sa mga moderator ng site, sa isang forum, na matatagpuan sa network ng Tor.

Idinagdag ng post na ang mga magnanakaw ay umatake matapos ang mga tagapag-ayos ng site ay tumagal ng masyadong mahaba upang tumugon sa malawakang pag-aalala sa industriya tungkol sa pag-atake sa pagiging malleability ng transaksyon. "Sa kabila ng aming hardening at pentesting procedures, ang attack vector na ito ay nasa labas ng penetration testing scope dahil sa pagiging rooted sa Bitcoin protocol mismo," sabi nito.

Sa pangkalahatan, ang mahusay na mga prinsipyo sa seguridad ay magkakaroon ng isang web site na nakabatay sa bitcoin na naglalagay ng karamihan sa mga bitcoin sa ilalim ng pamamahala sa malamig na imbakan (ibig sabihin, nakaimbak offline), upang hindi sila manakaw ng mga online na umaatake. Gayunpaman, sinabi ng post na lahat sila ay naka-imbak online, dahil sa mga back-end development sa site.

"We were planning on re-launching the new auto-finalize and Dispute Center nitong nakaraang weekend," sabi ni Defcon sa post. Ang pagpapatupad ng dalawang mga tampok ay maaaring bumped up ang dami ng mga order na tinatapos, na nagiging sanhi ng site upang gawin ang lahat ng mga bitcoins agad na magagamit.

Ang post ay dumating na may labis na paghingi ng tawad. "Dapat ay kinuha ko ang pangunguna ng MtGox at Bitstamp at hindi pinagana ang pag-withdraw sa sandaling naiulat ang isyu sa pagiging mahina. Mabagal akong tumugon at masyadong nag-aalinlangan sa posibleng isyu sa kamay," sabi ni Defcon, bago i-post ang mga mapanlinlang na transaksyon, at humingi ng tulong sa komunidad sa pagpapabagsak sa sinasabing magnanakaw.

Iminungkahi ng post na nakompromiso ang mga escrow wallet (na nagtataglay ng mga pondo hanggang sa maihatid ang mga kalakal). Ang ONE bagay na T malinaw ay kung ang mga personal na wallet ng mga user (may hawak na mga pondo na na-upload ngunit hindi nagastos, o natanggap mula sa mga customer ngunit hindi na-withdraw) ay ninakaw.

Ang ilang mga pag-post sa mga forum ay nagmungkahi na sila ay nakompromiso din. "Lumilitaw kaya kahit papaano sa aking kaso. Habang .1286 BTC lamang (nadeposito kagabi) ang nakikita ko ang isang transcation sa blockchain na nagpadala ng bayad sa isang address at wala akong ginawang ganoong transaksyon," sabi ng ONE user, na tinatawag ang kanyang sarili na 'UncleFester'.

"Blockchain showing my SR wallet emptied. So - escrow and wallet are all gone :-(," sabi ng isa pa, 'meathead_420'.

Iminungkahi ng iba na ang lahat ng natitirang mga barya ay maaaring tinanggal sa server ng Silk Road 2 habang naresolba ang sitwasyon.

Paano ito nangyari?

Ang hindi pa rin malinaw ay kung paano nagresulta ang pag-atake sa pagiging malleability ng transaksyon sa kumpletong pag-alis ng laman ng isang escrow account. Kasama sa pag-atake ang pagpapalit ng ID ng isang transaksyon sa Bitcoin , para isipin ng nagpadala na T ito nangyari.

[post-quote]

Bilang tayo detalyado mas maaga sa linggong ito, ang pagpapalit lang ng ID ay T sapat upang maging sanhi ng pagnanakaw ng isang barya. Ang indibidwal o organisasyong nagpapadala ng mga bitcoin (sa kasong ito, Silk Road) ay malamang na kailangang muling ipadala ang mga barya kaagad at awtomatiko kung sakaling magkaroon ng mapanlinlang na reklamo ng customer, at kailangang mapansin na halos 5000 bitcoins ang nawawala sa mga escrow account nito nang hindi nakataas ang isang kilay.

"Paumanhin defcon ngunit kung ang mt gox at bitstamp ay nagkaroon ng hindsight na kanselahin ang pag-withdraw habang hinarap nila ang bug. Bakit hindi mo ginawa ang parehong mga hakbang?" tanong ng 'Soloist'.

"Bakit kinuha magpakailanman para maglabas-masok ng mga pondo sa aking wallet ngunit ang bawat huling BIT ng BTC ay nawawala sa isang kisap-mata?" sabi ni 'garconSR2' bilang tugon sa post ng Defcon.

Ang mga teknikal na eksperto ay nalilito, at nag-aalinlangan. "Makakagawa ba ng mga piping pagkakamali ang mga kriminal? Walang katapusan na magagawa. Karamihan sa mga malalalim na web site na tulad nito ay malamang na alinman sa mga honeypots o long-con scam," sabi ng CORE developer ng Bitcoin na si Jeff Garzik.

Nagbigay si Defon ng ilang detalye ng pag-atake, na nagpapaliwanag na may isang tao, malamang na nagpapatakbo sa France, na gumamit ng ilang vendor account para mag-order sa isa't isa, upang hanapin at pagsamantalahan ang kahinaan. Ang pangunahing account ay pinangalanang 'narco93', sabi ng post.

Nag-alok si Defcon na tulungan ang mga nasa panganib mula sa pagnanakaw sa pamamagitan ng paggamit ng kanyang sariling mga personal na pondo. Kahit ONE user, dimon114, ang tila nangangailangan. "Kung ang aking mga vendor ay T nagpadala ng kung ano ang iniutos ko, ako ngayon ay nasa ilang malubhang pisikal na panganib," sabi nila.

Bagama't marami ang nagtatanong sa katapatan ng kuwento, ang iba ay sumugod sa ebidensya na ibinigay ng Defcon upang subukan at maghanap ng higit pang mga detalye. Nakakita ang ONE user ng wallet online na sinabi nilang posibleng destinasyon para sa mga pondo. Itong blockchain wallet lumilitaw na nakatanggap ng 8566 bitcoins sa 60 transaksyon sa huling dalawang araw. Mahigit kalahati lamang sa kanila ang naroroon pa rin sa oras ng pagsulat. Walang patunay na ang wallet na ito ay ginamit ng sinumang sinasabing magnanakaw ng Bitcoin sa yugtong ito.

Anonymous na user larawan sa pamamagitan ng Shutterstock