Analyse : Un pirate informatique de Bitstamp a presque volé 1,75 million de dollars supplémentaires

Selon une analyse de la blockchain réalisée par un chercheur indépendant, Bitstamp a évité de justesse de perdre 1,75 million de dollars supplémentaires en Bitcoin lors de son récent piratage.

Dans les dernières heures d'un vol de 5,1 millions de dollars qui a eu lieu à la bourse il y a cinq jours, les 1,75 million de dollars en Bitcoin ont été rapidement transférés vers un adresseOn pense qu'il est utilisé pour le stockage à froid par Bitstamp, a découvert l'analyste Danno Ferrin.

CoinDesk confirme que l'adresse en question était contrôlée par Bitstamp dès le 2 décembre. Le PDG de l'entreprise, Nejc Kodric, avait alors déclaré que l'adresse était utilisée lors d'un audit. Bien que le PDG ait annoncé que les données seraient rendues publiques la semaine du 8 décembre, la plateforme T publié aucun résultat d'audit depuis. 24 mai.

Ferrin, qui publie son analyse de la blockchain sur son blogCryptoCrumb, a déclaré que les fonds récupérés provenaient probablement des centaines d'adresses utilisées par la plateforme pour accepter les dépôts des clients. Ces adresses semblent former le « portefeuille opérationnel » que Bitstamp a présenté commecompromisle 4 janvier, conduisant à un vol de 5,1 millions de dollars.

Selon l'analyse de Ferrin, les données de transaction sur la blockchain relient les fonds sortant du portefeuille opérationnel de Bitstamp à l'adresse « d'audit » de Bitstamp, ainsi qu'àune autre adressedont on présume généralement qu'il est contrôlé par le voleur.

Si Ferrin a raison, alors un total de 6,6 millions de dollars de fonds Bitstamp risquaient d'être volés, bien que la bourse ait réussi à sauver environ un quart des fonds à temps.

« Cela aurait pu être pire », écrit Ferrin.

Une vague de transactions

Le piratage semble avoir débuté aux premières heures du 4 janvier, lorsque 3 100 BTC ont été transférés vers le portefeuille volé. Les fonds ont afflué régulièrement pendant les 16 heures suivantes. À 16 h, le solde de l'adresse dépassait les 6 000 bitcoins.

Les flux se sont ensuite accélérés. Tard dans la journée du 4 janvier et aux premières heures du lendemain, 12 000 pièces supplémentaires ont été déposées dans le portefeuille volé.

À ce stade, Bitstamp semble avoir commencé à retirer des fonds de son portefeuille HOT , les plaçant hors de portée des pirates.

Les fonds récupérés ont été transférés vers l'adresse de stockage à froid dans une série de transferts s'étalant sur environ 30 minutes et qui ont vu 4 200 BTC déposés.

L'adresse de la plateforme d'échange a reçu deux transactions de 1 000 BTC à 00h54 le 5 janvier. Un quart d'heure plus tôt, elle avait déjà enregistré 22 transferts de 100 BTC. Ces transferts importants se sont poursuivis jusqu'à 01h06, date à laquelle quatre autres tranches de 100 BTC ont été déposées.

Au total, leadresse de l'entrepôt frigorifique a reçu un total de 6 478 BTC, d'une valeur d'environ 1,8 million de dollars, le 5 janvier. adresse de voldétenait 18 977 bitcoins à son apogée.

Course aux fonds

Une explication à ce qui s'est passé les 4 et 5 janvier est que la bourse était engagée dans une course contre l'intrus pour récupérer les fonds du portefeuille HOT .

Le voleur semble avoir accès à toutes les adresses du portefeuille HOT de Bitstamp, explique Ferrin, car certaines transactions montrent que le portefeuille volé génère un «changer d'adresse" qui a été consulté plus tard par Bitstamp.

Un exemple de ce type, mis en avant sur le blog de Ferrin, montre que 32 BTC ont été envoyés à l'adresse volée. Cette transaction a généré une adresse de change contenant environ 0,64 BTC. Environ 40 minutes plus tard, cette adresse de change a été vidée, faisant partie d'une transaction totalisant 10 BTC vers l'adresse de stockage à froid de Bitstamp.

Le portefeuille du voleur a donc créé une adresse de change également accessible par Bitstamp. Cela suggère que le voleur a pris le contrôle des systèmes internes de Bitstamp gérant son portefeuille HOT , et pas seulement des clés privées de ce portefeuille, a déclaré Ferrin, ajoutant :

« Ils savaient qu’ils étaient engagés dans une course pour s’emparer de ce qui restait sur la table. »

L'analyse « a du sens »

Ferrin a écrit un logiciel appeléNumisighteffectuer des analyses de blockchain comme passe-temps. Son travail quotidien consiste à travailler dans une équipe de déploiement de logiciels chez le géant des logiciels d'entreprise Oracle. Il dit qu'il a l'intention de publier son logiciel bientôt.

Un chercheur en sécurité qui a lu l’analyse de Ferrin est d’accord avec ses conclusions.

Kristov ATLAS, qui a lancé le Projet de Politique de confidentialité Open Bitcoin, a déclaré que la séquence des transactions était cohérente avec l'idée que Bitstamp avait récupéré environ un quart des fonds menacés. Il ajoute que les preuves restent peu concluantes quant à la manière précise dont l'intrus a piraté les systèmes de Bitstamp.

« La chronologie selon laquelle Bitstamp a travaillé pour transférer les pièces dans un stockage à froid dans les dernières heures de l'attaque est logique », a déclaré ATLAS .

Détails inexpliqués

Plusieurs autres détails des transactions d’attaque publiées sur la blockchain continuent cependant de dérouter les analystes comme Ferrin.

Plusieurs transactions vers le portefeuille volé étaient soumises à des frais de minage élevés, pouvant atteindre 1 BTC . Dans de nombreux cas, de tels frais T accru la priorité de la transaction, car les montants étaient déjà suffisamment importants pour lui conférer un statut prioritaire auprès des mineurs.

Les mineurs accordent de la valeur àpriorité de la transactionen évaluant sa taille et son âge, avant de considérer les frais de transaction qui y sont attachés.

Un autre problème concerne ce qui semble être une activité continue et des vols dans le portefeuille HOT de Bitstamp. Pas plus tard que le 8 janvier, des cryptomonnaies continuaient d' FLOW vers le portefeuille volé, provenant de ce que Ferrin et d'autres supposent être des adresses où les clients de Bitstamp déposent des fonds.

La décision du voleur de transférer tous les fonds mal acquis à une ONE adresse est également ONE, explique Ferrin.

Le transfert d'une telle quantité de cryptomonnaies vers une ONE adresse encourage la surveillance de la blockchain. Il pourrait également rendre les cryptomonnaies plus difficiles à dépenser sans être détectées.

« Envoyer tout à une ONE adresse était une grave erreur », a déclaré Ferrin. « [Si les pièces avaient été vendues sur une plateforme d'échange], on leur aurait demandé des explications. Ils auraient laissé des traces. »

Pièces volées en mouvement

Les cryptomonnaies volées sont désormais en circulation. L'adresse d'origine a été largement vidée, ne contenant plus que 90,6 BTC . Les fonds ont été répartis sur des dizaines de nouvelles adresses – 47 lors du dernier décompte de Ferrin, le 7 janvier.

Il semble maintenant qu'un petit nombre de pièces aient été envoyées à un mélangeur de pièces, ce qui rendrait plus difficile pour les futurs acheteurs de pièces de les retracer jusqu'au vol de Bitstamp.

Mais peu importe où finissent les pièces volées, les transactions entourant le vol resteront désormais accessibles au public sur la blockchain.

« Autrefois, des événements ignoraient tout de ces événements dans des salles enfumées. Aujourd'hui, la blockchain permet de remonter le temps et de prouver qu'ils ont bien eu lieu. C'est un peu comme si la lumière du soleil était le meilleur désinfectant », a déclaré Ferrin.

Correction: Ferrin pourrait publier son logiciel, mais KEEP le code source propriétaire. Une version antérieure de cet article indiquait à tort qu'il rendrait son logiciel open source.