Взлом Bitcoin на Bitfinex: что мы знаем (и T знаем)

Вчера с ONE из крупнейших в мире бирж цифровых валют было украдено Bitcoin на сумму более 60 миллионов долларов, и спустя почти 24 часа это событие все еще окутано тайной.

Однако ясно, что последствия будут далеко идущими.

Кража Bitfinex представляет собой самую крупную потерю биткоинов биржей со времен печально известной японской Mt Gox.потерял 744,408 BTCв начале 2014 года (стоит 350 миллионов долларов), нарушение, которое в конечном итоге приведет к прекращению его деятельности.

На момент публикации стоимость 119 756 BTC, украденных с Bitfinex, составляет примерно 66 млн долларов, или около 18% того, что было потеряно Mt Gox.

Учитывая масштабы кражи, она вызвала замешательство и разочарование среди рыночных торговцев и наблюдателей с момента ее объявления.

Источники, близкие к бирже, в основном воздерживаются от комментариев относительно того, являются ли украденные 119 756 BTC истинным масштабом взлома, а сама Bitfinex еще не опубликовала никаких результатов своего продолжающегося внутреннего расследования.

Вот что мы знаем (и чего T знаем) на данный момент:

Что мы знаем

Были затронуты учетные записи с несколькими подписями

Источник уязвимости, по-видимому, кроется в том, как Bitfinex структурирует свои счета и использует провайдера Bitcoin -кошелька BitGo в качестве дополнительного уровня безопасности клиентских транзакций.

Анонсированные в 2015 году Bitfinex и BitGoсоздал системув результате чего каждому клиенту будут предоставлены кошельки с несколькими подписями, ключи в которых разделены между несколькими владельцами для управления рисками.

В то время биржа заявила:

«Эпоха смешивания клиентских Bitcoin и всех связанных с этим угроз безопасности закончилась».

Как указано в цитате, компании стремились найти альтернативу стандартному процессу, который использовался биржами в то время, когда средства клиентов смешивались в более крупных офлайн-кошельках, а подключенные или «HOT» кошельки использовались для удовлетворения потребностей в ликвидности.

Вместо этого у каждого пользователя Bitfinex есть собственный набор ключей, созданный на платформе, с использованием схемы «2 из 3», при которой Bitfinex хранит два ключа (включая ONE офлайн), а BitGo использует третий для совместной подписи транзакций.

Чтобы вывести такую большую сумму средств, BitGo, скорее всего, пришлось бы подписать эти транзакции.

Потери клиентов Bitfinex существенны

Хотя точный размер потерь клиентов по отдельности неясен, есть признаки того, что пострадала значительная часть сообщества торговцев Bitcoin .

В течение нескольких часов после этой новости члены сообщества обратились к Twitter и Redditсообщатьчто их счета были опустошены.

Некоторые пользователи выразили свое раздражение, несмотря на наличие таких мер безопасности, как двухфакторная аутентификация, при которой вторичные устройства (например, мобильный телефон) используются для предоставления дополнительного уровня ключа доступа.

С другой стороны, сообщается, что средства, переведенные на биржу после взлома, находятся в безопасности, но биржа пока не опубликовала подробную информацию о том, когда и как будет осуществляться вывод средств.

Цены на Bitcoin резко упали

ONE из наиболее прямых последствий взлома Bitfinex стала цена Bitcoin, которая резко упала после появления новостей.

Цены упали напочти 20%, упав до 480 долларов США, прежде чем восстановиться.

По данным CoinDesk Bitcoin USD Price Index, на момент публикации статьи цена Bitcoin составляла приблизительно 552 доллара США, что примерно на 70 долларов США выше вчерашнего минимума.

Bitfinex остается офлайн

На момент публикации статьи Bitfinex оставался офлайн, а сообщение о взломе по-прежнему было видно пользователям.

В заявлениях Bitfines говорится, что компания изначально планирует запустить сайт в режиме онлайн, чтобы пользователи могли проверять свои балансы и определять, были ли опустошены их счета.

Чего мы T знаем

Кто виноват?

Учитывая объем вовлеченных денег, многие в обществе ищут козла отпущения.

ONE из очевидных целей была сама Bitfinex, которая владела двумя из трех закрытых ключей, необходимых для средств, потерянных со счетов с мультиподписью. Другие также задавались вопросом, были ли выявлены в инциденте слабые стороны модели BitGo.

Вчера BitGo заявила в социальных сетях, что внутреннее расследование не выявило никаких доказательстввзлом серверас их стороны.

Однако, несмотря на заверения, некоторые наблюдатели обвинили сервис в «слепом подписании» вывода почти 120 000 BTC и задались вопросом, почему не были приняты потенциальные контрмеры на случай перемещения средств такого размера.

При 30-дневном объеме транзакций чуть более 600 000 BTC взлом составил примерно одну шестую от размера ежемесячных ордеров биржи.

Когда фиатные средства станут доступны?

ONE из наиболее распространенных вопросов среди клиентов является статус депозитов, не деноминированных в Bitcoin. С момента первого обнаружения взлома Bitfinex заявила, что пострадали только ее Bitcoin сбережения.

Теперь многие клиенты обращаются в социальные сети, чтобы узнать, когда они смогут получить доступ к этим средствам или вывести их.

Однако ответы могут появиться скоро. Представитель Зейн Тэкетт, который отвечал на запросы в социальных сетяхс тех пор, как инцидент впервые стал известен, сказал, что ожидаются новые обновления.

Были ли затронуты другие биржи?

Другие обозреватели рынка QUICK высказать предположения о том, может ли сбой привести к осложнениям на других биржах, которые могли использовать Bitfinex в качестве источника ликвидности.

Известно, что Bitfinex предлагал API и что ONE время его использовали биржи, хотя основными конечными Рынки, по-видимому, были брокеры и трейдеры.

Такая проблема была выявлена в результате взлома Bitstamp вначало 2015 г., когда биржи, торговцы и поставщики банкоматов, подключенные к бирже, столкнулись с заметным сбоем.

На момент публикации неясно, пострадали ли от этого какие-либо более мелкие биржи, а более мелкие биржи, с которыми связался CoinDesk , сообщили об отсутствии сбоев.

Однако в заявлениях для CoinDesk биржи Kraken и Bitstamp указали, что их подходы к внедрению Технологии мультиподписи BitGo отличаются от подходов Bitfinex.

«На данный момент я уже могу сказать, что реализация Технологии BitGo MultiSig в Bitstamp принципиально отличается от ONE в Bitfinex», — рассказал CoinDesk Вася Зупан, руководитель отдела развития бизнеса Bitstamp.

Генеральный директор Kraken Джесси Пауэлл в электронном письме сообщил, что, хотя он T может предоставить подробную информацию о мерах безопасности биржи, он отметил, что «мы уверены в нашей конфигурации» в свете взлома Bitfinex.

Находится ли под угрозой бизнес-модель BitGo?

Независимо от того, признают ли BitGo виновной, она может проиграть битву за общественное Мнение.

Источники предполагают, что бизнес-модель BitGo была в первую очередь основана на взимании платы с корпоративных клиентов за услуги, а основным целевым рынком компании были Bitcoin -биржи.

Представитель ONE из крупных бирж заявил, что инцидент вызвал проблемы с моделью безопасности с несколькими подписями и что дальнейшее развертывание, вероятно, будет отложено из-за нарушения.

Однако заявления бирж о жизнеспособности их собственных реализаций BitGo позволяют предположить, что по крайней мере некоторые клиенты сервиса T планируют вносить какие-либо изменения, по крайней мере, на данный момент.

Виновата ли CFTC?

Ранее в этом году Bitfinex заключила мировое соглашение с Комиссией по торговле товарными фьючерсами США (CFTC) по поводу предполагаемых нарушений в торговле, выплатив75 000 долларов СШАне признавая и не отрицая при этом обвинения.

В то время CFTC заявила, что вопрос заключается в том, как биржа удерживала контроль над закрытыми ключами Bitcoin , привязанными к средствам пользователей, связанным с финансируемой торговлей. По мнению агентства, эти биткоины на самом деле T были «доставлены» после их покупки, а оставались под контролем Bitfinex.

После взлома некоторые критикиуказал на этот языкв соглашении CFTC как создающее идеальные условия для кражи, запрещая Bitfinex использовать холодное хранилище для клиентских средств.

Однако правозащитная группа Coin Centerперешел к отклонению утверждение о том, что виновата CFTC, поскольку мультиподпись является ONE из многих подходов к обеспечению безопасности и, как и другие, подвержена уязвимостям или сбоям.

Пресс-материалы прошлого года также указывают на то, что отношения Bitfinex с BitGo возникли еще до расследования CFTC.

Изображение черезШаттерсток

Раскрытие информации:CoinDesk является дочерней компанией Digital Currency Group, которая владеет долей в BitGo.