Silk Road 2 perde mais de US$ 2,6 milhões em Bitcoins em suposto hack

O site de mercado negro Silk Road 2 informou aos clientes que todos os seus bitcoins desapareceram após um grande hack, no qual pelo menos 4.476 bitcoins (no valor de mais de US$ 2,6 milhões no momento) foram roubados.preços) são acreditados como roubados. Os organizadores do site estão culpando o comprometimento no ataque de maleabilidade de transação nas notícias desta semana.

"Nossas investigações iniciais indicam que um fornecedor explorou uma vulnerabilidade descoberta recentemente no protocolo Bitcoin , conhecida como "maleabilidade de transação", para retirar moedas repetidamente do nosso sistema até que ele ficasse completamente vazio", disse uma publicação de Defcon, um dos moderadores do site, em um fórum localizado na rede Tor.

A postagem acrescentou que os ladrões atacaram depois que os organizadores do site demoraram muito para responder à preocupação generalizada da indústria sobre o ataque de maleabilidade de transação. "Apesar de nossos procedimentos de endurecimento e pentesting, esse vetor de ataque estava fora do escopo do teste de penetração devido a estar enraizado no próprio protocolo Bitcoin ", disse.

Geralmente, bons princípios de segurança teriam um site baseado em bitcoin colocando a maior parte dos bitcoins sob gerenciamento em armazenamento frio (ou seja, armazenados offline), para que eles não pudessem ser roubados por invasores online. No entanto, a postagem dizia que todos eles eram armazenados online, por causa de desenvolvimentos de back-end no site.

"Estávamos planejando relançar o novo auto-finalize e o Dispute Center no último final de semana", disse Defcon no post. A implementação dos dois recursos teria aumentado o volume de pedidos sendo finalizados, fazendo com que o site tornasse todos os bitcoins instantaneamente disponíveis.

A postagem veio com muitas desculpas. "Eu deveria ter seguido o exemplo da MtGox e da Bitstamp e desabilitado os saques assim que o problema de maleabilidade foi relatado. Fui lento para responder e muito cético quanto ao possível problema em questão", disse Defcon, antes de postar as transações fraudulentas e pedir ajuda à comunidade para derrubar o suposto ladrão.

A postagem sugeriu que as carteiras de custódia (que guardam fundos até que as mercadorias sejam entregues) foram comprometidas. Uma coisa que T ficou clara é se as carteiras pessoais dos usuários (que guardam fundos que foram carregados, mas não gastos, ou recebidos de clientes, mas não sacados) foram roubadas.

Algumas postagens nos fóruns sugeriram que eles também foram comprometidos. "Parece que sim, pelo menos no meu caso. Enquanto apenas .1286 BTC (depositados ontem à noite) eu posso ver uma transação no blockchain que enviou o pagamento para um endereço e eu não fiz nenhuma transação desse tipo", disse um usuário, chamando a si mesmo de 'UncleFester'.

"Blockchain mostrando que minha carteira SR foi esvaziada. Então - custódia e carteiras sumiram :-(," disse outro, 'meathead_420'.

Outros sugeriram que todas as moedas restantes podem ter sido retiradas do servidor Silk Road 2 enquanto a situação era resolvida.

Como isso aconteceu?

O que ainda não está claro é como um ataque de maleabilidade de transação pode ter resultado no esvaziamento completo de uma conta de custódia. O ataque envolve alterar o ID de uma transação de Bitcoin , para fazer o remetente pensar que isso T aconteceu.

[post-citação]

Como nósdetalhado no início desta semana, simplesmente mudar a ID T é o suficiente para fazer com que uma moeda seja roubada. O indivíduo ou organização que envia os bitcoins (neste caso, Silk Road) presumivelmente teria que reenviar as moedas imediatamente e automaticamente no caso de uma reclamação fraudulenta do cliente, e teria que perceber que quase 5000 bitcoins estavam desaparecendo de suas contas de custódia sem levantar uma sobrancelha.

"Desculpe defcon, mas se mt gox e bitstamp tiveram a visão retrospectiva de cancelar saques enquanto lidavam com o bug. Por que vocês não tomaram as mesmas medidas?" perguntou 'Soloist'.

"Por que demoroupara sempre para mover fundos para dentro e para fora da minha carteira, mas cada último BIT de BTC desaparece num piscar de olhos?" disse 'garconSR2' em resposta à postagem do Defcon.

Especialistas técnicos ficaram perplexos e céticos. "Os criminosos cometeriam erros idiotas? Infinitamente possível. A maioria dos sites da deep web como este são provavelmente honeypots ou golpes de longo alcance", disse o desenvolvedor CORE do Bitcoin, Jeff Garzik.

Defon forneceu alguns detalhes do ataque, explicando que alguém, provavelmente operando na França, usou várias contas de fornecedores para fazer pedidos uns dos outros, para encontrar e explorar a vulnerabilidade. A conta primária foi chamada de 'narco93', disse o post.

Defcon se ofereceu para ajudar aqueles que correm mais risco de roubo usando seus próprios fundos pessoais. Pelo menos um usuário, dimon114, parecia precisar. "Se meus fornecedores T enviaram o que eu pedi, agora estou em sério perigo físico", eles disseram.

Enquanto muitos questionaram a honestidade da história, outros se aproveitaram das evidências fornecidas pela Defcon para tentar encontrar mais detalhes. Um usuário encontrou uma carteira online que, segundo eles, poderia ser um destino provável para os fundos. Esta carteira blockchainparece ter recebido 8566 bitcoins em 60 transaçõesnos últimos dois dias. Pouco mais da metade deles ainda estão lá no momento em que escrevo. Não há provas de que esta carteira tenha sido usada por qualquer suposto ladrão de Bitcoin neste estágio.

Usuário anônimoimagem via Shutterstock