O hack do Bitcoin da Bitfinex: o que sabemos (e o que T sabemos)

Mais de US$ 60 milhões em Bitcoin foram roubados de uma das maiores bolsas de moedas digitais do mundo ontem e, quase 24 horas depois, o evento ainda está envolto em mistério.

O que está claro, porém, é que o impacto é de longo alcance.

O roubo da Bitfinex representa a maior perda de bitcoins por uma bolsa desde o infame Mt Gox do Japãoperdeu 744.408 BTCno início de 2014 (vale $ 350 milhões), uma violação que acabaria por fazer com que cessasse as operações.

No momento da impressão, o valor dos 119.756 BTC roubados da Bitfinex é de aproximadamente US$ 66 milhões, ou cerca de 18% do que foi perdido pelo Monte Gox.

Dado o tamanho, o roubo gerou confusão e frustração entre os comerciantes e observadores do mercado desde que foi anunciado.

Fontes próximas à exchange evitaram comentar se os 119.756 BTC roubados representam a extensão total do hack, e a própria Bitfinex ainda não publicou nenhuma descoberta de sua investigação interna em andamento.

Aqui está o que sabemos (e o que T sabemos) até agora:

O que sabemos

Contas com várias assinaturas foram impactadas

A origem da vulnerabilidade parece estar na forma como a Bitfinex estruturou suas contas e no uso do provedor de carteira de Bitcoin BitGo como uma camada adicional de segurança nas transações dos clientes.

Anunciadas em 2015, Bitfinex e BitGocriou um sistemapor meio do qual carteiras com múltiplas assinaturas, aquelas em que as chaves são divididas entre vários proprietários para gerenciar riscos, seriam fornecidas a cada cliente.

A bolsa declarou na época:

"A era de misturar Bitcoin de clientes e todas as exposições de segurança associadas acabou."

Conforme mencionado na citação, as empresas buscavam encontrar uma alternativa ao processo padrão usado pelas bolsas na época, que via os fundos dos clientes misturados em carteiras offline maiores e carteiras conectadas ou "HOT" usadas para atender às demandas de liquidez.

Em vez disso, cada usuário da Bitfinex tem seu próprio conjunto de chaves criado na plataforma, usando um arranjo de chaves 2 de 3, em que a Bitfinex mantém duas das chaves (incluindo uma offline) e a BitGo usa a terceira para coassinar transações.

Para sacar uma quantia tão grande de fundos, a BitGo provavelmente teria que assinar essas transações.

Perdas significativas de clientes da Bitfinex

Embora a extensão total das perdas de clientes em uma base individual não esteja clara, os sinais indicam que um subconjunto significativo da comunidade de negociação de Bitcoin foi afetado.

Nas horas seguintes à notícia, os membros da comunidade recorreram ao Twitter e ao Redditrelatarque suas contas foram esvaziadas.

Alguns usuários expressaram exasperação apesar de terem medidas de segurança como autenticação de dois fatores em vigor, na qual dispositivos secundários (como um telefone celular) são usados para fornecer uma camada de senha adicional.

Por outro lado, os fundos transferidos para a bolsa após o hack são considerados seguros, mas a bolsa ainda não divulgou detalhes sobre quando e como os saques serão gerenciados.

Os preços do Bitcoin caíram drasticamente

Um dos impactos mais diretos do hack da Bitfinex pode ser visto no preço do Bitcoin, que despencou após a divulgação da notícia.

Os preços caíram emquase 20%, caindo para US$ 480 antes de se recuperar.

No momento em que este artigo foi escrito, o preço do Bitcoin era de aproximadamente US$ 552, de acordo com o Índice de Preços Bitcoin USD da CoinDesk , um aumento de cerca de US$ 70 em relação à mínima de ontem.

Bitfinex permanece offline

Até o momento, a Bitfinex continua offline, com sua mensagem anunciando o hack ainda visível para os usuários.

Declarações da Bitfines sugerem que a empresa está procurando inicialmente colocar o site online para que os usuários possam verificar seus saldos e determinar se suas contas foram esvaziadas.

O que T sabemos

De quem é a culpa?

Dada a quantidade de dinheiro envolvida, muitos na comunidade estão procurando um bode expiatório.

Um alvo óbvio foi a própria Bitfinex, que tinha posse de duas das três chaves privadas necessárias para os fundos perdidos de contas multiassinatura. Outros questionaram se as fraquezas no modelo da BitGo também foram expostas no incidente.

Ontem, a BitGo recorreu às redes sociais para declarar que uma investigação interna não revelou nenhuma evidência deviolação de servidordo lado deles.

No entanto, apesar das garantias, alguns observadores culparam o serviço por "assinar cegamente" a retirada de quase 120.000 BTC e se perguntaram por que nenhuma contramedida potencial estava em vigor no caso de uma movimentação de fundos desse tamanho.

Com volumes de transações de 30 dias pouco acima de 600.000 BTC, o hack foi aproximadamente um sexto do tamanho dos pedidos mensais da bolsa.

Quando os fundos fiduciários estarão acessíveis?

Uma questão predominante entre os clientes é o status de depósitos não denominados em Bitcoin. Desde que o hack foi revelado pela primeira vez, a Bitfinex declarou que apenas seus ativos de Bitcoin foram impactados.

Mais do que alguns clientes estão recorrendo às redes sociais para perguntar quando poderão acessar ou sacar esses fundos.

No entanto, as respostas podem chegar em breve. O representante Zane Tackett, que tem respondido a perguntas por meio das redes sociaisdesde que o incidente veio à tona, disse que mais atualizações estão por vir.

Outras bolsas foram impactadas?

Outros observadores do mercado foram QUICK em especular se a interrupção poderia levar a complicações em outras exchanges que podem estar usando a Bitfinex como fonte de liquidez.

Sabe-se que a Bitfinex oferecia uma API e que ela ONE foi usada por bolsas, embora os principais Mercados finais parecessem ser corretores e traders.

Tal problema foi exposto por um hack no Bitstamp eminício de 2015, quando as bolsas, os comerciantes e os provedores de caixas eletrônicos conectados à bolsa sofreram uma interrupção notável.

Até o momento, não estava claro se alguma exchange menor foi afetada, e as exchanges menores contatadas pela CoinDesk não relataram interrupções.

Em declarações ao CoinDesk, no entanto, as exchanges Kraken e Bitstamp indicaram que suas abordagens para implementar a Tecnologia multisig da BitGo diferiam daquela da Bitfinex.

"Por enquanto, já posso dizer que a implementação da Tecnologia MultiSig da BitGo pela Bitstamp é fundamentalmente diferente ONE da Bitfinex", disse Vasja Zupan, chefe de desenvolvimento de negócios da Bitstamp, ao CoinDesk.

Em um e-mail, o CEO da Kraken, Jesse Powell, disse que, embora T pudesse oferecer detalhes sobre as medidas de segurança da exchange, ele comentou que "estamos confiantes em nossa configuração" em vista da violação da Bitfinex.

O modelo de negócios da BitGo está em risco?

Se a BitGo for considerada culpada, ela pode estar perdendo a batalha da Opinião pública.

Fontes sugerem que o modelo de negócios da BitGo era baseado principalmente em cobrar clientes empresariais por serviços, e que as bolsas de Bitcoin eram o principal mercado-alvo da empresa.

Um importante representante de exchange disse que o incidente levantou problemas com o modelo de segurança multi-sig e que a implementação posterior provavelmente seria adiada como resultado da violação.

No entanto, declarações de bolsas sobre a viabilidade de suas próprias implementações do BitGo sugerem que pelo menos alguns dos clientes do serviço T estão procurando fazer nenhuma mudança, pelo menos por enquanto.

A CFTC é a culpada?

A Bitfinex chegou a um acordo com a Comissão de Negociação de Futuros de Commodities dos EUA (CFTC) no início deste ano sobre supostas violações comerciais, pagando umaAcordo de $ 75.000sem admitir ou negar as acusações.

Em questão, a CFTC disse na época, estava como a exchange detinha o controle das chaves privadas de Bitcoin vinculadas aos fundos de usuários conectados à negociação financiada. A visão da agência era que esses bitcoins T eram realmente "entregues" após a compra deles, mas permaneciam sob o controle da Bitfinex.

Desde o hack, alguns críticosapontou para aquela linguagemno acordo da CFTC por criar as condições ideais para o roubo ao proibir a Bitfinex de usar armazenamento a frio para fundos de clientes.

O grupo de defesa Coin Center, no entanto,movido para demitir a alegação de que a CFTC era a culpada, argumentando que a multi-sig é uma das várias abordagens de segurança e, como outras, é propensa à vulnerabilidade ou falha.

Materiais de imprensa do ano passado também indicam que o relacionamento da Bitfinex com a BitGo é anterior à investigação da CFTC.

Imagem viaShutterstock

Aviso Importante:A CoinDesk é uma subsidiária do Digital Currency Group, que tem participação acionária na BitGo.