Mga Detalye ng $5 Million Bitstamp Hack Naihayag

Anim na empleyado ng Bitstamp ang na-target sa isang linggong pagtatangka sa phishing na humahantong sa pagnanakaw ng humigit-kumulang $5m sa Bitcoin noong Enero, ayon sa isang hindi kumpirmadong ulat ng insidente na sinasabing idini-draft sa loob ng Bitcoin exchange.

Ang kumpidensyal na dokumento, nai-post sa Reddit sa pamamagitan ng isang single-purpose na account, ay nag-aalok ng malalim na pagtingin sa kung ano ang pinaniniwalaan na inside story ng hack, na nagresulta sa pagkawala ng wala pang 19,000 BTC mas maaga sa taong ito. Simula noon, ang kumpanya ay nag-alok ng kaunting mga detalye sa kung ano ang naganap sa likod ng mga eksena, na binabanggit ang pagiging kompidensiyal tungkol sa pagsisiyasat sa mga nawawalang pondo.

Ang mga natuklasan ng ulat ay kapansin-pansin dahil inilalarawan nila ang mga panganib na kinakaharap ng mga palitan ng Bitcoin , kabilang ang mga pag-atake ng social engineering kung saan ginagamit ang personal na impormasyon upang linlangin ang mga biktima sa pagbibigay ng paraan ng pag-access sa mga sensitibong materyales.

Sa kaso ng Bitstamp, ang nasa likod ng pag-atake ay gumamit ng Skype at email para makipag-ugnayan sa mga empleyado at subukang mamahagi ng mga file na naglalaman ng malware sa pamamagitan ng pag-apila sa kanilang mga personal na kasaysayan at interes. Nakompromiso ang system ng Bitstamp matapos mag-download ang administrator ng system na si Luka Kodric ng file na pinaniniwalaan niyang ipinadala ng isang kinatawan para sa isang organisasyon na naghahanap ng kanyang membership.

Ang ulat, na iniuugnay sa Bitstamp general counsel na si George Frost, ay ipinaliwanag:

"Noong ika-11 ng Disyembre, bilang bahagi ng alok na ito, nagpadala ang attacker ng ilang attachment. Ang ONE sa mga ito, UPE_application_form.doc, ay naglalaman ng na-obfuscate na malisyosong VBA script. Kapag nabuksan, awtomatikong tumakbo ang script na ito at naglabas ng malisyosong file mula sa IP address 185.31.209.145, at sa gayon ay nakompromiso ang makina."

Sa huli, na-access ng mga umaatake ang dalawang server na naglalaman ng wallet.dat file para sa HOT wallet ng Bitstamp at ang passphrase para sa file na iyon.

Ang impormasyong nakapaloob sa ulat ay sinasabing nagmula sa isang third-party na imbestigasyon na isinagawa ng digital forensics firm Stroz Friedberg, gayundin mula sa mga imbestigador na nagtatrabaho para sa US Secret Service, Federal Bureau of Investigation at mga awtoridad sa cybercrime na nakabase sa UK.

Sa pagbalangkas ng ulat, ang imbestigasyon sa hack ay patuloy pa rin ngunit inaasahan ang pag-aresto sa NEAR na hinaharap. Ang ulat ay tumutukoy sa isang pagsisikap ng mga imbestigador na lumikha ng "isang 'honey trap' upang akitin [ang umaatake] sa UK upang maaresto."

Tumanggi ang Bitstamp na magkomento sa pagiging tunay ng ulat kapag naabot. Ang isang kinatawan para sa Stroz Friedberg ay hindi kaagad magagamit para sa komento.

Pinahabang pagtatangkang phishing

Ayon sa ulat, ang pinakaunang pagtatangka sa phishing ay naganap noong ika-4 ng Nobyembre, nang ang ONE sa mga umaatake ay nakipag-ugnayan sa chief Technology officer ng Bitstamp na si Damian Merlak na nag-aalok ng mga libreng tiket sa isang punk rock festival.

Ang chief operating officer na si Miha Grcar ay nakipag-ugnayan sa Skype noong kalagitnaan ng Nobyembre ng isang taong nagpapanggap bilang isang reporter. Sa palitan na iyon, binanggit ng indibidwal ang mga nakaraang artikulo na isinulat ni Grcar noong siya mismo ay isang reporter na nagko-cover ng balita sa Greece.

Ang ulat ay nagsasaad:

"Noong ika-26 ng Nobyembre, bilang bahagi nito mula sa isang offline na file (gaya ng isang Word document). exchange, tinangka ni ivan.foreignpolicy na magpadala ng isang word document ng isang kamakailang artikulo, na tila naghahanap ng komento mula kay Mr Grcar. Tumanggi si Mr Grcar na tanggapin ang dokumento."

Dalawang araw bago nito, ang tagapangasiwa ng suporta ng Bitstamp na si Anzej Simicak ay naabot din sa pamamagitan ng Skype, at sa pagkakataong iyon ang umaatake ay nagpanggap bilang isang taong naghahanap ng higit pang impormasyon sa RippleWise, isang proyekto kung saan si Simicak ay gumaganap bilang COO.

Noong unang bahagi ng Disyembre, marami pang miyembro ng kawani ng Bitstamp ang nakipag-ugnayan, kasama si Kodric, na ang account ay nakompromiso sa huli. Ang computer ni Employee Miha Hrast ay nakompromiso pagkatapos ma-message sa Skype, kahit na wala siyang mga pribilehiyo sa pag-access para sa mga server.

Nakompromiso ang server

Matapos ma-infiltrate ang computer ni Kodric, ayon sa ulat, ang mga karagdagang nakakahamak na file ay nilikha sa pagitan ng ika-17 at ika-22 ng Disyembre. Noong ika-23 ng Disyembre, ginamit ang account ni Kodric para mag-log in sa server na may hawak ng wallet.dat file.

Noong ika-29 ng Disyembre, ginamit ng mga umaatake ang computer ni Kodric para ma-access ang mga server na naglalaman ng wallet.dat file at passphrase ng wallet.

"Pinaghihinalaan namin na kinopya ng umaatake ang Bitcoin wallet file at passphrase sa yugtong ito, dahil sa ugnayan sa pagitan ng laki ng mga file na ito at sa laki ng paglilipat ng data na nakikita sa mga log," ang tala ng ulat. "Kahit na ang aktwal na nilalaman ng mga paglilipat ay hindi makumpirma mula sa mga log na magagamit."

Wala pang isang linggo, nagpapatuloy ang ulat, nawalan ng laman ang pitaka, na binanggit:

"Noong ika-4 ng Enero, inubos ng attacker ang Bitstamp wallet, bilang ebidensya sa blockchain. Bagama't ang maximum na nilalaman ng wallet na ito ay 5,000 bitcoins sa ONE pagkakataon, nagawa ng attacker na magnakaw ng higit sa 18,000 bitcoins sa buong araw habang ang karagdagang mga deposito ay ginawa ng mga customer."

QUICK na tugon

Mabilis na kumilos ang Bitstamp upang tasahin at pagaanin ang pinsala, ayon sa ulat, na nag-isyu ng alerto sa buong kumpanya at nagtatag ng isang pangkat ng pagtugon sa insidente. Nalaman ng kumpanya ang pagnanakaw noong gabi ng ika-4 ng Enero, at pagkatapos ng pag-audit ay natuklasan ng mga server ang pagpasok ng ika-29 ng Disyembre at ang paglilipat ng data.

Sinimulan ni Stroz Friedberg ang pagsisiyasat nito noong ika-8 ng Enero, na tumatakbo sa labas ng tanggapan ng kumpanya sa Slovenian.

Ang ulat ay nagsasaad:

"Di-nagtagal pagkatapos Discovery ang pag-atake, gumawa ang Bitstamp ng isang mahal ngunit kinakailangang desisyon upang muling itayo ang aming buong platform ng kalakalan at mga karagdagang sistema mula sa simula, sa halip na subukang i-reboot ang aming lumang system. Ginawa namin ito mula sa isang secure na backup na pinananatili (ayon sa mga pamamaraan sa pagbawi ng kalamidad) sa isang 'malinis na silid' na kapaligiran."

Idinagdag ng ulat na ang Bitstamp ay "nagpasya na i-deploy ang aming network ng pamamahagi gamit ang mga server ng imprastraktura ng Amazon cloud na matatagpuan sa Europa" sa panahong iyon.

Nasuri ang pinsala

Nawala ng Bitstamp ang 18,866 BTC mula sa HOT nitong wallet, na nagkakahalaga ng humigit-kumulang $5,263,614 sa panahon na ang presyo ng Bitcoin ay nag-average ng $279.

Ngunit ang pinsala ay lumampas sa mga bitcoin sa HOT na pitaka, ipinaliwanag ng ulat, na binanggit:

"Ang Bitstamp ay nawalan ng mga customer, kabilang ang mga pangunahing kliyente na nakikibahagi sa pagbibigay ng mga serbisyo ng merchant sa Bitcoin, at nakaranas ng malaking pinsala sa reputasyon nito, na hindi namin matukoy nang eksakto sa puntong ito, ngunit pinaniniwalaan namin na lumampas sa $2 milyon."

Kasama sa mga karagdagang gastos ang $250,000 na binayaran sa koponan ng Stroz Friedberg, $250,000 na binayaran sa mga developer para muling itayo ang platform at $150,000 sa mga bayad sa pagkonsulta at pagpapayo. Ang mga gastos, kabilang ang mga binayaran kay Stroz Friedberg, ay "patuloy na naipon", ayon sa ulat.

Sa pagtatapos ng pag-atake, ang exchange ay gumagamit na ngayon ng multi-sig wallet access at kinontrata ang Xapo upang pangasiwaan ang cold wallet storage nito.

Sa kabila ng mga pagkalugi at diumano'y pinsala sa reputasyon, ginawa ng kumpanya ang insidente bilang isang karanasan sa pag-aaral, na nagtapos:

"Ito ay isang malaking pagkawala para sa Bitstamp, at nagdulot ito ng karagdagang pagdududa sa kaligtasan at integridad ng Bitcoin ecosystem. Gayunpaman, maaaring mas malala pa ito, at determinado kaming gamitin ito bilang isang tool sa pag-aaral, at bilang batayan para sa paggawa ng mga pagpapabuti sa aming Technology, mga protocol ng seguridad, pagpaplano ng pagtugon sa insidente at FORTH."

Larawan ng mga kumpidensyal na papel sa pamamagitan ng Shutterstock