Профессор Эмин Гюн Сирер: как Bitfinex могла защититься от кражи

[Tomcat_MkII]

 

Взлом Bitfinex – одной из крупнейших криптовалютных бирж - привел к потере 119 756 биткойнов. Это составляет почти 70 миллионов долларов. Для сравнения, в результате рекордного вооруженного ограбления завода в Данбаре в 1997 году было похищено 28 миллионов долларов (в пересчете с учетом инфляции). Поэтому, кражи средств из "банков" Биткойна – тема сегодняшнего дня.

 

Профессор Эмин Гюн Сирер (Emin Gün Sirer), преподаватель информатики Корнелльского университета, в своем блоге Hacking Distributed высказал свое мнение о причинах инцидента, каким образом мог быть осуществлен взлом и как можно предотвратить такие ситуации в будущем.

 

Контекст

 

Утверждают, что это первая крупная кража биткойнов за последние полтора года. Это совершенно не так. В первой половине этого года был взломан обменник Shapeshift, а незадолго до этого – Cryptsy, а до этого был крах MtGox. Кражи были у Poloniex и у многих других бирж. Список основных краж слишком длинный, чтобы перечислять его здесь.

 

Ясно, что банкротство, или близкое к нему состояние любой криптовалютной биржи означает опустошение, кладбище несбывшихся надежд и печальное напоминание о хрупкости и уязвимости нашей компьютерной инфраструктуры. Это характерно не только для сети Биткойна – мы уже видели, что банки, и даже центральные банки, точно так же уязвимы. Но если обычные банки могут отследить переводы средств и попытаться их вернуть, то необратимость транзакций в сети Биткойна делает криптовалютные биржи соблазнительными и легкодоступными мишенями. В результате появляются душераздирающие истории, как например, история человека, потерявшего все свои сбережения за последние 12 лет.

 

 

Читать полностью

[Lexis77]

У меня кстати на работе такой сейф стоит, как на картинке :) Только высота всего 2м.

[Lion74]

Профессор Эмин Гюн Сирер просто, ясно и авторитетно разжевал то, что наши форумские раскатали на 2 темы и десятки матерных постов.. Молодец!

[Lexis77]

@Lion74, прости, что именно он рассказал? Как легендарный КО? Или то, что крах крупной инвестиционной конторы за месяцы видят только ее владельцы и имитируют взлом, чтоб выиграть время? Или что именно еще?

С таким подходом, самая крутая и взломоустойчивая биржа - БТЦ-е ))))) Хотя там деньги воруют у конкретных юзеров, а не сразу весь мешок уносят.

[Vlad555]

http://hackingdistributed.com/2016/08/03/how-bitfinex-heist-could-have-been-avoided/

Гуглоперевод части текста:

.....

Но особая вещь о сейфах, что они приходят с двумя ключами.

Один ключ используется для разблокирования хранилища и переместить свои средства на обычный кошелек.

Другой, называемый ключом восстановления, используется, когда вы заметили, что ваши средства были взломаны и перемещены из хранилища хакером.

Затем вы можете использовать ключ восстановления, чтобы отменить хак - у вас есть 24 часа, чтобы замечать и запустить восстановление и получить обратно все деньги.

 

Обратите внимание на то, что вы не можете обмануть торговца с этим трюком и вернуть реальную сделку.

Все, что вы можете сделать, это забрать свои собственные деньги от кого-то, кто пытается украсть его.

Если можно так сказать себе, что это довольно гениальная схема. Это почти как кто-то должен работать над этим.

 

Получается, что кто - то сделал. Это кто - то Malte Moeser, Ittay Эяль и сам. (Emin Гюн Sirer)

 

Здесь подробнее http://hackingdistributed.com/2016/02/29/bitcoin-vaults/

 

...На протяжении многих лет мы наблюдали люди теряют свои монеты для хакеров. И это просто не их вина: наши операционные системы не приближаются безопасно достаточно для весьма ценных активов.

Обычные люди не могут ожидать, чтобы знать и следовать невероятно сложные OPSEC процедуры для поддержания пуленепробиваемый устройства.

Хуже того, нет никакой помощи на горизонте.

В Microsofts, яблоки и Googles мира не собираются быть в состоянии улучшить состояние безопасности операционной системы на стороне клиента - они пытались в течение многих лет,

и то, что мы имеем на сегодняшний день является лучшим у них есть: компьютер проблема безопасности просто слишком сложно.

 

Своды (сейфы) позволяют пользователям Bitcoin к шагу обойти эту проблему.

Это Bitcoin образом пользователей сказать "хорошо, я понимаю, что хакер может получить в свои машины, что я могу потерять ключ или я мог бы иметь временный характер,

но я буду в состоянии держать свои монеты, несмотря на отдельные неудачи этого своего рода."

Мы считаем, что это может быть игра смены для cryptocurrencies и их массовое внедрение.

 

Насчёт ясности - кому как.

 

Зы: Сейфы в начале топика - как раз по теме.

Edited 8 Aug 2016, 23:19 by Vlad555

[AlexeyZv]

На самом деле достаточно иметь Bitcoin Trezor (аппаратный кошелёк) - и он бы заменил бирже холодное и горячее хранилище. Посадил финансово-отетственного человека и пускай он  хоть несколько раз в день формирует транзакции через Bitcoin Trezor. Надёжность - 100%, даже на полностью заражённом компьютере.

Чтобы минимизировать инсайд воровство - можно сделать что-то каскадной схемы: в верхушке иерархии самый глвный человек, с Bitcoin Tezor, к нему стекается инфа - сколько за день послать послать биткойнов подчинённым бухгалтерам, каждый из которых отвечает максимум какойто суммой в день. Бухгалтера тоже имеют Bitcoin Trezor, но отправляют меньшие суммы, но более индивидуально и адресно. Если есть не честный на руку бухгалтер - максимум риск на ту часть, за которую он отвечает. Тем более, в случае чего он не анонимный хакер и есть что предъявить

Edited 21 Aug 2016, 14:46 by AlexeyZv