Найбільші зломи криптовалюта

  1. Mt.Gox - 650,000 BTC
  2. Злом The DAO - 3,600,000 ETC
  3. Злом Bitfinex - 120,000 BTC
  4. Помилка Parity - 500,000 ETH
  5. Злом NiceHash - 4,700 BTC
  6. Злом Tether - 31 мільйон USDT
  7. Coincheck - 500 мільйонів XEM

В індустрії криптовалюта регулярно відбуваються крадіжки з гаманців користувачів, а іноді і з гаманців належать бірж. Чи можна порівняти масштаби крадіжок фіатной валюти і криптовалюта? Спробуємо розібратися на основі декількох гучних історій.

Mt.Gox - 650,000 BTC

У 2013 році біржа Mt.Gox домінувала на ринку. Зареєстрована в Японії компанія визначала курс криптовалюта біткоіни , А обсяг торгів становив 47% від всієї індустрії.

Керівник біржі Марк Карпелес з гордістю давав інтерв'ю і звітував про успіхи, але насправді все було не так райдужно. Хакер крав криптовалюта з рахунків Mt.Gox тривалий час. Більш того, коли Карпелес придбав Mt.Gox у Джеда МакКалеб, рахунки біржі вже мали недостачу і вона продовжувала рости.

У 2014 році відбувся колапс біржі. В один момент весь світ дізнався про розкрадання неймовірною суми - 850,000 біткоіни!

Роботу Mt.Gox може охарактеризувати один простий факт - через деякий час біржа виявила на одному зі своїх старих гаманців 200,000 біткоіни (на той момент оцінювалися в $ 116 мільйонів). До цього моменту дані 200,000 btc теж значилися як вкрадені.

Mt.Gox не створювати як біржа для торгівлі криптовалюта. Спочатку сайт був майданчиком для торгівлі картками до гри Magic The Gathering, тому розробники допустили ряд помилок, дозволених для сайту торгує картами, але не позволительного для найбільшої біржі криптовалюта.

Помилки в роботі біржі:

  • не існувало можливості відстеження зміни в коді біржі, як не існувало ні можливості "відкотити" зміни. Будь-яка помилка при оновленні коду могла обрушити всю торгівлю;
  • група програмістів працювала над одним проектом, не бачачи змін, які роблять колеги, що створювало можливості помилок і збільшувало шанси зломщика;
  • в компанії не було співробітників відповідальних за тестування роботи біржі, будь-які зміни зроблені розробниками відразу відправлялися користувачам;
  • в управлінні біржею відбувалися систематичні помилки, в тому числі спроби приховати втрату криптовалюта, яка тривала роками.

19 червня 2011 року було нова атака на Mt.Gox. Злом стався через комп'ютер аудитора біржі. Зловмисник перевів на свій гаманець суму еквівалентну $ 8,750,000 (що було неймовірною сумою для індустрії криптовалюта 2011 року). Для здійснення такої операції зломщик змінив параметри торгівлі, продавши себе біткоіни за курсом в $ 0.01.

Ця проблема стала першим сигналом, але не зупинила розвиток біржі. За 3 роки торги на Mt.Gox набрали істотний оборот, тому крах 2014 року виявився ще болючіше для всієї індустрії.

У початку 2014 року користувачі стали скаржитися на повільну роботу біржі. Стали ходити чутки про те, що американська банківська система заморожує рахунки Mt.Gox в зв'язку з юридичними проблемами.

7 лютого 2014 року компанія заморозила всі операції на висновок криптовалюта біткоіни, мотивуючи це необхідністю перевірити технічні моменти роботи. Відновлення операцій планувалося на 10 лютого, але воно так і не відбулося.

Служба безпеки біржі виявила величезну діру, якої хакер користувався тривалий час. Маючи прямий доступ до гаманців біржі, зломщик не став переводити біткоіни на свій гаманець, а замість цього забирав собі невелику суму від кожної транзакції, яка виходила з-за округлення цифр в транзакції.

Через низку системних помилок біржа втратила суму еквівалентну $ 473 мільйонам і рівну 7% від загальної маси біткоіни.

В результаті біржа Mt.Gox подала на банкрутство. Марк Карпелес кілька разів був арештований, але кожен раз виходив на свободу. Його вина так і не була доведена. Користувачі свої гроші не отримали.

Зломщик відмив криптовалюта через обмінники BTC-e і Tradehill. Засновник BTC-e Олександр Винник був заарештований в Греції, де і знаходиться до моменту написання цієї статті в березні 2018. Винник може бути екстрадований в США (де йому загрожує 55 років ув'язнення) або в Росію. Обидві країни вимагають екстрадиції Винника, в той час як він сам подав прохання про політичний притулок в Греції.

Крах Mt.Gox обвалив курс Bitcoin, і загальмував розвиток індустрії криптовалюта на кілька років.

Додатково по темі:

  1. подкаст " базовий блок "
  2. вікіпедія
  3. CoinDesk
  4. Wired

Злом The DAO - 3,600,000 ETC

Злом The DAO - 3,600,000 ETC

Якщо крах Mt.Gox став найбільшим в історії криптовалюта Bitcoin, то злом The DAO до березня 2018 є найбільшим для Ethereum.

Атака на криптовалюта стала настільки серйозною, що керівництво Ethereum прийняло рішення зробити форк і створити нову криптовалюта замість підтримки старої гілки. Після цього злому криптовалюта розділилася на Ethereum і Ethereum Classic. Що ж сталося?

Вся система Ethereum функціонує на смарт-контрактах . Це автоматизовані контракти, які неможливо змінити після їх запуску.

The DAO розшифровується як "Децентралізована Автоматична Організація" (Decentralized Autonomous Organization). Для світу Ethereum запуск The DAO повинен був стати великою подією, що прискорило б розвиток криптовалюта.

Найпростішою аналогією The DAO можна назвати венчурний фонд, який функціонує використовуючи власну валюту "DAO Tokens", що купується за Ether. ці токени використовувалися б децентралізованими додатками (DAPPs) для реалізації своїх функцій. Таким чином, The DAO стає центром Ethereum і сполучною ланкою між усіма додатками мережі.

Ідея The DAO так сподобалася спільноті, що багато розробників стали вкладати Ether в цей фонд і сформували масу ефірів на суму в $ 150 мільйонів за 28 днів.

Вся система виглядала продуманою. Розробники бажаючі вийти з системи DAO могли скористатися функцією "Split Function", яка дозволяла повернути на свій рахунок вкладені Ether. При цьому ефіри заморожувалися і не могли бути використані 28 днів.

Проте існував баг, про який говорили на кріптовалютних форумах. Творці The DAO знали про проблему, але не вважали її досить суттєвою для вирішення.

17 червня 2016 хтось скористався помилкою смарт-контракту DAO і вивів 1/3 від всього фонду. Сума втрати склала $ 50 мільйонів за курсом 2016 року.

Це сталося через помилки в роботі Split Function, яка спочатку повертала користувачеві Ether за його DAO tokens, а потім реєструвала транзакцію і оновлювала внутрішній баланс.

Зловмисник створив рекурсивную функцію, яка відправляла запит на повернення Ether в обмін на DAO tokens, але перед тим як система реєструвала транзакцію, функція запитувала повернення знову. Така функція спрацьовувала нескінченно і викачала Ether на суму в $ 50 мільйонів. Курс Ether в той момент складав $ 21.52, а після злому The DAO впав до $ 9.96.

У цій ситуації важливо звернути увагу на те, що помилка сталася не на боці криптовалюта Ethereum, а від розробників проекту The DAO, що функціонував на основі Ethereum.

Кріптовалютное співтовариство довго сперечалося про способи вирішення проблеми. Спочатку розробники Ethereum вирішили провести софт форк криптовалюта, але побачили масу подальших проблем. В кінцевому підсумку був зроблений хард форк і поділ на Ethereum (де транзакції зловмисника скасовані) і Ethereum Classic (в якому зловмисник вкрав криптовалюта).

Додатково по темі:

  1. Bloomberg
  2. Wikipedia

Злом Bitfinex - 120,000 BTC

Злом Bitfinex - 120,000 BTC

Злом кріптовалютной біржі Bitfinex став другим за обсягом в історії біткоіни. Розміщена в Гонконзі біржа втратила 120,000 BTC, що становило $ 72 мільйони на момент крадіжки 2 серпня 2016 року.

Найцікавіша частина цієї історії полягає в тому, що розробники з Bitfinex пішли далі інших бірж в питаннях безпеки. У 2015 році вони уклали угоду з BitGo, найбільшим розробником multi-sig гаманців, які вважаються більш надійними.

Давайте розберемося в суті multi-sig гаманців? Створюючи звичайний гаманець ви отримуєте приватний ключ. Використовуючи цей ключ ви можете зробити транзакцію. Але цей ключ може бути вкрадений або загублений, тоді до гаманця отримає доступ зловмисник або зовсім ніхто (гроші будуть втрачені).

Для вирішення подібної проблеми створені multi-sig гаманці, що перекладається як "гаманець з кількома підписами". Створюючи такий гаманець ви можете отримати декілька приватних ключів, наприклад 3 або 7. Якщо ви створюєте гаманець з 3 ключами, то 1 залишиться вам, 1 розробнику гаманця і 1 ви можете передати надійному людині (наприклад своїй дружині) або навіть покласти в банківський сейф.

У разі якщо хакер вкраде ваш приватний ключ, він не зможе зробити транзакцію, так як одного підпису буде недостатньо. Хакеру потрібно зламати ваш аккаунт на спеціальному сервісі, або забратися в вашу банківську комірку (або ж заодно зламати комп'ютер вашої дружини). Якщо ви втратите свій приватний ключ, то все одно збережіть доступ до гаманця.

Якщо ви працюєте в компанії, де для прийняття рішення необхідно кілька голосів, скажімо 7, то multi-sig гаманець може бути налаштований таким чином, щоб всі 7 користувачів отримали приватні ключі і транзакції проводилися тільки при підтвердженні всіх учасників.

Тепер повернемося до біржі Bitfinex. Вони використовували multi-sig гаманець і вважали, що криптовалюта знаходиться в безпеці (наскільки це можливо при використанні hot wallet), але помилялися.

У Bitfinex зберігалося 2 ключа, а 1 ключовий залишався у BitGo. Для здійснення транзакції необхідні були всі 3 підписи, тобто розробники з BitGo контролювали відбувається і служба безпеки Bitfinex розслабилася. Спочатку вони стали обмежувати використання безпечних cold wallet, дістатися до яких вкрай складно.

Зломщик зміг не тільки отримати доступ до гаманців Bitfinex, а й змусити BitGo підписувати свої транзакції. Як це сталося в точності невідомо, але найбільш адекватною виглядає теорія про те, що Bitfinex не використали multi-sig гаманець як повинні були.

Судячи з усього, BitGo просто автоматично підписували всі транзакції підтверджені ключами біржі, а рекламована надійність виявилася лише маркетингом.

В ході розгляду стало відомо, що сервера BitGo були зламані, а значить вони добровільно підписували транзакції зломщика.

Після злому ціна криптовалюта Bitcoin просіла на 20% (до $ 480), але швидко відновилася. Біржа Bitfinex випустила токени BFX для компенсації втрати і вже 1 вересня викупила 1.1%. У список торгів були додані нові пари і біржа стала розвиватися ще швидше. 3 квітня 2017 всі операції по BFX були припинені, а користувачі отримали можливість перевести в готівку токени за курсом в $ 1 за штуку.

Помилка Parity - 500,000 ETH

Технічно про цю ситуацію не можна говорити як про злом, але втрата $ 154 мільйонів заслуговує на увагу, чи не так?

Parity це система multi-sig гаманців діючих в мережі Ethereum. Через бажання розробників заощадити, а також грубої технічної помилки, величезна кількість гаманців створених після 20 липня 2017 року були не знищені. Загальна маса заморожених Ether вартістю в $ 154 мільйонів виявилася недоступна для власників.

Для криптовалюта Ethereum ця помилка виявилася в 3 рази більше ніж злом The DAO, який змусив розробників зробити жорсткий форк і створити нову криптовалюта.

Як і в разі The DAO, помилка була здійснена розробниками гаманця Parity і полягала в їх основному смарт-контракті, а не є наслідком помилки Ethereum.

Проблеми Parity почалися в липні 2017. Тоді зломщик зміг викрасти 150,000 ETH вартістю в $ 30 мільйонів. Причиною було названо баг в смарт-контракті wallet.sol. До речі, розробникам вдалося врятувати 377,000 ETH використовуючи хакерів зі свого боку. Курс Ethereum впав з $ 401 до $ 198.

Після цього в Parity оновили код гаманця і заявили про те, що він був повністю перевірений.

Розробники спробували заощадити на токенах ефіру, використовуваних для оплати комісії за транзакції. Для цього всі гаманці користувачів зверталися до одного смарт-контракту.

Зловмисник використовував функцію "kill" для свого гаманця. Ця функція доступна у всіх контрактах написаних на Solidity і становить всього лише 58 символів. Ця функція завершує контракт, а у випадку з Parity, вона завершує основний смарт-контракт, до якого зверталися всі інші гаманці. У підсумку все гаманці створені після 20 липня виявилися марними, а кошти замороженими.

Додатково по темі:

  1. подкаст " базовий блок "
  2. Medium

Злом NiceHash - 4,700 BTC

NiceHash це компанія, що займається Майнінг і розташована в Словенії. Це одне з улюблених місць у стартапів пов'язаних з криптовалюта завдяки близькості до Австрії, Німеччини та Швейцарії, але при цьому доступних цінах на житло і оренду офісів. Велика кількість IT фахівців і прохолодний клімат - чим не відмінне місце для розвитку майнінговой компанії?

NiceHash втратили лише 4,700 BTC, що складно порівняти з колапсом Mt.Gox, але за курсом на грудень 2017 року цей обсяг криптовалюта відповідав $ 80 мільйонів.

Зломщик проник в систему NiceHash використовуючи доступ одного зі співробітників. Використовуючи недоліки в безпеці, зловмисник перевів на свій гаманець всі засоби доступні в NiceHash, які повинні були виплачуватися учасникам мережі.

Злом Tether - 31 мільйон USDT

Tether являє собою зв'язок між криптовалюта і фіатнимі грошима. Компанія стоїть за даною криптовалюта випускає кілька видів токенов, які підкріплені реальними доларами і євро, які лежать на рахунку компанії. Таким чином ціна USDT завжди близька до $ 1 і дотримання цього балансу є основною метою Tether.

Дана криптовалюта стала причиною багатьох суперечок і навіть породила унікальний мем про принтері, який друкує долари швидше ніж Федеральна Резервна Система США.

Криптовалюта використовується для "гри на пониження" коли курс біткоіни падає, частина коштів фіксується в USDT і використовується для покупки BTC за низьким курсом.

19 листопада 2017 року сталась крадіжка $ 30,950,000 USDT, які виявилися переведені на невідомий гаманець. У Tether оголосили про те, що дані маркери неможливо буде обміняти і їх рух буде відслідковуватися.

Крадіжка Tether змусила розробника Omni Core (використовуваного Tether) оновити свій протокол для допомоги у відновленні доступу до криптовалюта.

Додатково по темі:

  1. подкаст " базовий блок "
  2. Coindesk
  3. The Verge

Coincheck - 500 мільйонів XEM

Президент Coincheck Коїчіро Вада перед прес-конференцією

Біржа Coincheck була однією з найбільших в Японії, але увійшла в історію завдяки розкрадання найбільшого обсягу криптовалюта XEM .

Всього з холодного гаманця Coincheck було вкрадено 500,000,000 токенов XEM, що на момент крадіжки становила $ 533 мільйони.

В абсолютних цифрах цей злом став найбільшим в історії криптовалюта, але при неймовірному зростанні капіталізації ринку в кінці 2017 він не став настільки значним як аналогічний злом Mt.Gox роками раніше.

Ще однією відмінністю історії Coincheck від Mt.Gox є визнання біржею факту злому безпосередньо в момент виявлення проблеми. Якщо на Mt.Gox довгий час намагалися приховати факт розкрадання і обманювали клієнтів повідомленнями про проблеми з владою США, то в Coincheck відразу ж була організована прес-конференція.

Вкрадені у біржі токени були переведені на 20 різних гаманців, а розробники з NEM Foundation "позначили" токени таким чином, що будь-яке їхнє появу на біржі стане помітним.

Біржа заявила про плани компенсувати втрату 260,000 користувачів за курсом в $ 0.81 за 1 XEM. Таким чином розмір компенсації складе $ 420 мільйонів. Відмінність в сумі крадіжки і виплати полягає в падінні курсу XEM після інформації про крадіжку криптовалюта.

Далі буде?

Чи можна порівняти масштаби крадіжок фіатной валюти і криптовалюта?
Що ж сталося?
Давайте розберемося в суті multi-sig гаманців?
Велика кількість IT фахівців і прохолодний клімат - чим не відмінне місце для розвитку майнінговой компанії?
Далі буде?