Bitcoin хак Bitfinex: що ми знаємо (і T знаємо)

Вчора з ONE з найбільших у світі бірж цифрових валют було викрадено Bitcoin на суму понад 60 мільйонів доларів, і майже 24 години потому подія все ще оповита таємницею.

Однак очевидно, що вплив є далекосяжним.

Крадіжка Bitfinex є найбільшою втратою біткойнів на біржі з часів сумнозвісної японської Mt Gox втратив 744 408 BTC на початку 2014 року (вартістю 350 мільйонів доларів), порушення, яке зрештою призвело б до припинення діяльності.

На момент публікації вартість 119 756 BTC , вкрадених у Bitfinex, становить приблизно 66 мільйонів доларів, або близько 18% того, що було втрачено горою Гокс.

Враховуючи розміри, крадіжка викликала замішання та розчарування серед ринкових торговців і спостерігачів з моменту оголошення.

Джерела, близькі до біржі, здебільшого уникали коментарів щодо того, чи відображають викрадені 119 756 BTC повний масштаб злому, а сама Bitfinex ще не опублікувала жодних результатів свого поточного внутрішнього розслідування.

Ось що ми знаємо (і що ми T знаємо):

Що ми знаємо

Це вплинуло на облікові записи з кількома підписами

Джерело вразливості, схоже, полягає в тому, як Bitfinex структурував свої облікові записи та використовує постачальника Bitcoin гаманців BitGo як додатковий рівень безпеки для транзакцій клієнтів.

Анонсовані в 2015 році Bitfinex і BitGo створив систему за допомогою якого гаманці з декількома підписами, де ключі розподілені між кількома власниками для управління ризиками, будуть надані кожному клієнту.

Обмін оголошений у той час:

«Епоха змішування Bitcoin клієнтів і всіх пов’язаних із цим ризиків безпеки закінчилася».

Як зазначено в цитаті, компанії прагнули знайти альтернативу стандартному процесу, який використовувався на біржах у той час, коли кошти клієнтів змішувалися у більших офлайн-гаманцях і підключених або «HOT» гаманцях, які використовувалися для задоволення потреб у ліквідності.

Швидше, кожен користувач Bitfinex має власний набір ключів, створених на платформі, використовуючи схему 2 із 3 ключів, за якої Bitfinex зберігає два ключі (включаючи ONE офлайн), а BitGo використовує третій для спільного підпису транзакцій.

Щоб вивести таку велику суму коштів, BitGo, ймовірно, довелося б підписати ці транзакції.

Значні втрати клієнтів Bitfinex

Хоча повний обсяг втрат клієнтів на індивідуальній основі незрозумілий, ознаки вказують на те, що це вплинуло на значну частину спільноти торгівлі Bitcoin .

Протягом кількох годин після новин члени спільноти перейшли на Twitter і Reddit звітувати що їхні рахунки були злиті.

Деякі користувачі висловлювали обурення, незважаючи на те, що в них застосовано такі заходи безпеки, як двофакторна автентифікація, у якій додаткові пристрої (наприклад, мобільний телефон) використовуються для надання додаткового рівня доступу.

З іншого боку, кошти, переведені на біржу після злому, вважаються безпечними, але біржа ще не оприлюднила подробиць про те, коли та як буде керуватися виведенням коштів.

Ціни на Bitcoin різко впали

ONE із найбільш прямих наслідків злому Bitfinex можна було побачити в ціні Bitcoin, яка впала після публікації новин.

Ціни впали майже 20%, впавши до 480 доларів США, перш ніж відновитися.

На момент публікації ціна Bitcoin становить приблизно 552 долари, згідно з індексом цін на Bitcoin в доларах США від CoinDesk , що приблизно на 70 доларів вище вчорашнього мінімуму.

Bitfinex залишається в автономному режимі

Крім того, під час преси Bitfinex залишається в автономному режимі, а його повідомлення про злом все ще видно користувачам.

Заяви Bitfines свідчать про те, що компанія прагне спочатку вивести сайт онлайн, щоб користувачі могли перевіряти свої баланси та визначити, чи не було злито їхні рахунки.

Що ми T знаємо

Хто винен?

Зважаючи на суму грошей, багато хто в громаді шукає цапа відпущення.

ONE з очевидних цілей була сама Bitfinex, яка володіла двома з трьох приватних ключів, необхідних для втрачених коштів з облікових записів із кількома підписами. Інші сумніваються, чи слабкі місця в моделі BitGo також були виявлені в інциденті.

Вчора BitGo звернувся до соціальних мереж і заявив, що внутрішнє розслідування не виявило жодних доказів наявності злом сервера на їхньому кінці.

Проте, незважаючи на ці запевнення, деякі спостерігачі звинувачують сервіс у «сліпому підписанні» виведення майже 120 000 BTC і дивуються, чому не було вжито потенційних контрзаходів у разі руху коштів такого розміру.

З обсягом транзакцій за 30 днів трохи більше 600 000 BTC, злом становив приблизно одну шосту від розміру місячних замовлень біржі.

Коли фіатні кошти стануть доступними?

ONE із основних питань серед клієнтів є статус депозитів, деномінованих не в Bitcoin. Оскільки хакерство було вперше виявлено, Bitfinex заявила, що постраждали лише його Bitcoin холдинги.

Зараз багато клієнтів звертаються до соціальних мереж, щоб запитати, коли вони зможуть отримати доступ або зняти ці кошти.

Однак відповіді можуть бути незабаром. Представник Зейн Текетт, який відповідав на запити в соціальних мережах відтоді, як про інцидент стало відомо, сказав, що незабаром буде більше оновлень.

Чи вплинули на інші біржі?

Інші спостерігачі ринку QUICK припустити, чи може збій призвести до ускладнень на інших біржах, які, можливо, використовували Bitfinex як джерело ліквідності.

Відомо, що Bitfinex справді пропонував API і що його ONE часу використовували біржі, хоча основними кінцевими Ринки були брокери та трейдери.

Таку проблему виявив хак на Bitstamp у початок 2015 року, коли біржі, продавці та постачальники банкоматів, підключені до біржі, зазнали помітних збоїв.

На момент преси незрозуміло, чи це вплинуло на менші біржі, і менші біржі, з якими зв’язався CoinDesk, не повідомили про збої.

Однак у заявах для CoinDesk біржі Kraken і Bitstamp вказали, що їхні підходи до впровадження Технології MultiSig BitGo відрізняються від підходів Bitfinex.

«На даний момент я вже можу сказати, що впровадження Bitstamp Технології MultiSig BitGo принципово відрізняється від того, що було зроблено Bitfinex», — сказав Вася Зупан, керівник відділу розвитку бізнесу Bitstamp, CoinDesk.

У електронному листі генеральний директор Kraken Джессі Пауелл сказав, що, хоча він T може надати подробиць щодо заходів безпеки біржі, він зазначив, що «ми впевнені в нашій конфігурації» у світлі зламу Bitfinex.

Чи під загрозою бізнес-модель BitGo?

Незалежно від того, чи вважають BitGo винним, він може програти битву громадської Погляди.

Джерела припускають, що бізнес-модель BitGo в основному базувалася на стягненні плати за послуги з корпоративних клієнтів, а основним цільовим ринком компанії були Bitcoin біткойнів.

Представник ONE з великих бірж сказав, що інцидент підняв проблеми з моделлю безпеки з кількома підписами, і що подальше розгортання, ймовірно, буде відкладено через порушення.

Проте заяви бірж про життєздатність їхніх власних реалізацій BitGo свідчать про те, що принаймні деякі клієнти сервісу T хочуть вносити жодних змін, принаймні на даний момент.

Чи винен CFTC?

На початку цього року Bitfinex домовився з Комісією з торгівлі товарними ф’ючерсами США (CFTC) через передбачувані торговельні порушення, сплативши 75 000 доларів США не визнаючи та не заперечуючи звинувачень.

У CFTC тоді заявили, що питанням було те, як біржа контролювала приватні ключі Bitcoin , пов’язані з коштами користувачів, пов’язаними з фінансованою торгівлею. Погляд агентства полягав у тому, що ці біткойни насправді T були «доставлені» після їх покупки, а скоріше залишалися під контролем Bitfinex.

Після злому деякі критики вказав на ту мову у врегулюванні CFTC як створення ідеальних умов для крадіжки шляхом заборони Bitfinex використовувати холодне зберігання для коштів клієнтів.

Однак правозахисна група Coin Center перенесено на звільнення твердження про те, що винна CFTC, стверджуючи, що мультипідпис є ONE із багатьох підходів до безпеки та, як і інші, схильний до вразливості або збою.

Матеріали преси за минулий рік також свідчать про те, що відносини Bitfinex з BitGo передували розслідуванню CFTC.

Зображення через Shutterstock

Повідомлення:CoinDesk є дочірньою компанією Digital Currency Group, яка має частку власності в BitGo.