Análise: Hacker da Bitstamp quase roubou US$ 1,75 milhão adicionais

A Bitstamp evitou por pouco perder US$ 1,75 milhão adicionais em Bitcoin durante seu recente hack, de acordo com uma análise de blockchain feita por um pesquisador independente.

Nas horas finais de um assalto de US$ 5,1 milhões ocorrido na bolsa há cinco dias, os US$ 1,75 milhões em Bitcoin foram rapidamente transferidos para um endereçoacredita-se que seja usado para armazenamento a frio pela Bitstamp, descobriu o analista Danno Ferrin.

A CoinDesk pode confirmar que o endereço em questão era controlado pela Bitstamp recentemente, em 2 de dezembro. O presidente-executivo da empresa, Nejc Kodric, disse na época que o endereço estava sendo usado durante uma auditoria. Embora o CEO tenha dito que os dados seriam tornados públicos na semana de 8 de dezembro, a exchange T publicou nenhum resultado de auditoria desde então. 24 de maio.

Ferrin, que publica sua análise de blockchain em seu blogCriptoCrumb, disse que os fundos resgatados provavelmente vieram de centenas de endereços que a bolsa usou para aceitar depósitos de clientes. Esses endereços parecem formar a 'carteira operacional' que a Bitstamp disse sercomprometidoem 4 de janeiro, levando a um roubo de US$ 5,1 milhões.

De acordo com a análise de Ferrin, os dados de transação no blockchain vinculam os fundos que saem da carteira operacional da Bitstamp para o endereço de "auditoria" da Bitstamp, bem comooutro endereçoque é amplamente presumido ser controlado pelo ladrão.

Se Ferrin estiver certo, um total de US$ 6,6 milhões em fundos da Bitstamp corriam o risco de serem roubados, embora a exchange tenha conseguido resgatar cerca de um quarto dos fundos em cima da hora.

"Poderia ter sido pior", escreveu Ferrin.

Rajada de transações

O hack parece ter começado nas primeiras horas do dia 4 de janeiro, quando 3.100 BTC foram transferidos para a carteira de roubo. Os fundos fluíram de forma constante pelas próximas 16 horas. Às 16h, o endereço tinha um saldo de mais de 6.000 moedas.

Então, os fluxos de entrada aceleraram. No final de 4 de janeiro e nas primeiras horas do dia seguinte, mais 12.000 moedas foram colocadas na carteira de roubo.

Nesse ponto, a Bitstamp pareceu começar a retirar fundos de sua carteira HOT , colocando-os fora do alcance dos hackers.

Os fundos resgatados foram transferidos para o endereço de armazenamento frio em uma onda de transferências que ocorreram ao longo de cerca de 30 minutos, resultando em 4.200 BTC depositados.

O endereço da exchange recebeu duas transações de 1.000 BTC às 00:54 do dia 5 de janeiro. Cerca de 15 minutos antes, já havia recebido 22 transferências de 100 BTC. As grandes transferências continuaram até 01:06, quando quatro blocos adicionais de 100 BTC foram depositados.

No total, oendereço de armazenamento a frio recebeu um total de 6.478 BTC, no valor de cerca de US$ 1,8 milhões, em 5 de janeiro. O endereço de roubodetinha 18.977 bitcoins em seu auge.

Corrida para arrecadar fundos

Uma explicação para o que aconteceu nos dias 4 e 5 de janeiro é que a exchange estava em uma corrida com o intruso para roubar fundos da carteira HOT .

O ladrão parecia ter acesso a todos os endereços na carteira HOT da Bitstamp, diz Ferrin, porque algumas transações mostram a carteira de roubo gerando um 'mudar endereço' que foi posteriormente acessado pelo Bitstamp.

Um exemplo disso destacado no blog de Ferrin mostra 32 BTC enviados para o endereço de roubo. Esta transação gerou um endereço de troco que continha cerca de 0,64 BTC. Cerca de 40 minutos depois, este endereço de troco foi esvaziado, formando parte de uma transação totalizando 10 BTC para o endereço de armazenamento frio da Bitstamp.

A carteira do ladrão, portanto, criou um endereço de troca que também era acessível pela Bitstamp. Isso sugere que o ladrão havia obtido o controle dos sistemas internos da Bitstamp que governavam sua carteira HOT e não apenas as chaves privadas dessa carteira, disse Ferrin, acrescentando:

"Eles sabiam que estavam em uma corrida entre si para reivindicar o que restava na mesa."

A análise 'faz sentido'

Ferrin escreveu um software chamadoNumisightpara executar análise de blockchain como um hobby. Seu trabalho diário é em uma equipe de implantação de software na gigante de software empresarial Oracle. Ele diz que pretende lançar seu software em breve.

Um pesquisador de segurança que leu a análise de Ferrin concorda com suas conclusões.

Kristov ATLAS, que iniciou o Projeto de Política de Privacidade do Bitcoin aberto, disse que a sequência de transações era consistente com a noção de que a Bitstamp salvou cerca de um quarto dos fundos em risco. Ele acrescenta que as evidências permanecem inconclusivas sobre como precisamente o intruso violou os sistemas da Bitstamp.

"O cronograma do Bitstamp trabalhando para varrer as moedas para o armazenamento a frio nas horas finais do ataque faz sentido", disse ATLAS .

Detalhes inexplicáveis

No entanto, vários outros detalhes das transações de ataque publicadas no blockchain continuam a intrigar analistas como Ferrin.

Várias transações para a carteira de roubo tinham altas taxas de mineração de até 1 BTC anexadas. Essas altas taxas T teriam aumentado a prioridade da transação em muitos casos, porque os valores da transação já eram grandes o suficiente para garantir a ela o status de alta prioridade entre os mineradores.

Os mineiros valorizam umprioridade da transaçãoponderando seu tamanho e idade, antes de considerar as taxas de transação associadas.

Outro problema é o que parece ser atividade contínua e roubo da carteira HOT da Bitstamp. Ainda em 8 de janeiro, moedas continuaram a FLOW para a carteira de roubo, do que Ferrin e outros presumem ser endereços nos quais os clientes da Bitstamp depositam fundos.

A decisão do ladrão de transferir todos os fundos obtidos de forma ilícita para um endereço também é ONE, diz Ferrin.

Canalizar uma quantidade tão grande de moedas para um endereço encoraja o escrutínio no blockchain. Também pode tornar as moedas mais difíceis para o ladrão gastar sem ser detectado.

"Enviar tudo para um endereço foi um erro enorme", disse Ferrin. "[Se as moedas fossem vendidas em uma bolsa], eles seriam solicitados a explicar. Eles teriam deixado um rastro."

Moedas roubadas em movimento

As moedas roubadas agora estão em movimento. O endereço original do roubo foi amplamente esvaziado, restando apenas 90,6 BTC . Os fundos foram dispersos para dezenas de novos endereços – 47 na última contagem de Ferrin em 7 de janeiro.

Um pequeno número de moedas parece ter sido enviado para um misturador de moedas, o que tornaria mais difícil para futuros compradores das moedas rastreá-las até o roubo do Bitstamp.

Mas não importa onde as moedas roubadas acabem, as transações relacionadas ao roubo agora permanecerão disponíveis publicamente no blockchain.

"Coisas que costumavam acontecer em salas cheias de fumaça que você nunca saberia, agora o blockchain fornece uma oportunidade de voltar no tempo, provar que elas estão indo para trás. É como se a luz do sol fosse o melhor desinfetante", disse Ferrin.

Correção: Ferrin pode lançar seu software, mas KEEP o código-fonte proprietário. Uma versão anterior deste artigo erroneamente disse que ele tornaria seu software de código aberto.