Форум BitcoinTalk взломан группой «The Hole Seekers»

Статья обновлена 7 октября в 11:00

Популярный форум цифровой валюты BitcoinTalk был взломан группой, называющей себя «The Hole Seekers».

Сейчас сайт не работает, но некоторое время на нем демонстрировались анимации взрывов бомб и фотографии дирижеров классической музыки, все это под увертюру «1812 год», которая также является саундтреком к сцене взрыва в фильме «V — значит вендетта».

Ближе к концу анимации был показан баннер с надписью:

«Привет, друг. Bitcoin был конфискован ФБР за его незаконность. Спасибо, пока».

Имос, администратор BitcoinTalk, рассказалCryptoLife.netчто нападение оказалось хуже, чем он изначально предполагал.

«Существует большая вероятность того, что злоумышленник(и) могли выполнить произвольный PHP-код и, следовательно, получить доступ к базе данных, но я пока не уверен, насколько это будет сложно. Я рассылаю массовую рассылку всем пользователям форума по этому поводу», — пояснил он.

Онимос подытожил, что форум будет недоступен в течение некоторого времени, и сказал, что, по его мнению, хэши паролей не были скомпрометированы, но на данный момент он T может быть в этом уверен.

«Пароли хешируются с помощью sha256crypt с 7500 раундами (очень надежно). JavaScript, внедренный в bitcointalk.org, кажется безвредным», — добавил он.

Администратор сказал, что злоумышленник внедрил некий код в $modSettings['news'], который является новостями в верхней части страниц форума. Обновление новостей обычно регистрируется, но это действие не было, поэтому Theymous считает, что обновление было сделано "каким-то окольным путем", а не путем взлома учетной записи администратора.

«Вероятно, часть SMF, связанная с обновлением новостей или modSettings, имеет изъян. Возможно, злоумышленник каким-то образом смог изменить кэш modSettings в /tmp или непосредственно в базе данных», — добавил он, заключив:

«Выяснить подробности, вероятно, выходит за рамки моих навыков, поэтому 50 BTC первому, кто расскажет мне, как это было сделано. (Вы должны убедить меня, что именно ваша ошибка была ONE .) Форум T заработает, пока я не узнаю, как это было сделано, поэтому он может быть недоступен некоторое время».

Участники форума Reddit былиобсуждаяполезные нагрузки, задействованные во взломе – какHTML-источникиПолезная нагрузка JavascriptУчастник форума «super3» сказал, что T видит ничего, что могло бы показаться вредоносным, но «itsmemax» утверждает, что полезная нагрузка Javascript — это блеф.

Майкл Парсонс из BitcoinByte.com заявил: «Тот, кто взломал форум BitcoinTalk, намеренно перепутал «незаконность» сайта Silk Road с Bitcoin в целом».

Он продолжил, заявив, что биткоины были изъяты у Silk Road не потому, что они изначально незаконны, а потому, чтокоторые они не являются– а потому, что они принимали участие в отмывании денег.

«Любые деньги, будь то государственные фиатные деньги или децентрализованные Bitcoin, обнаруженные во время облавы на наркотики, будут изъяты», — пояснил Парсонс.

Он предположил, что BitcoinTalk мог быть взломан с целью подорвать протокол Bitcoin , тем самым подорвав доверие к экосистеме.

«Как бы странно это ни звучало, я думаю, что это пойдет на пользу сообществу Bitcoin , поскольку это будет способствовать дебатам о Bitcoin и о том, что они не являются незаконными, просто потому, что так говорят некоторые хакеры», — заключил Парсонс.

Обновлять:

BitcoinTalk снова заработал. Он снова появился в сети утром 7 октября (по времени Великобритании). Некоторые посты на reddit лежаливина за нападениеу дверей членовSomethingAwfulфорум, тогда какдругие обвиняют правительство США.

ONE участник форума ссылается на снимок экрана IRC, который, по-видимому, показывает разговор между Theymos и другим пользователем, где Theymos утверждает, что за взлом несет ответственность SomethingAwful "goon". Всем пользователям BitcoinTalk рекомендуется сменить свои пароли на форуме.