Sårbarheder ved tilbagetrækning aktiverede bitcoin-tyveri fra Flexcoin og Poloniex

Hackere fandt sikkerhedssvagheder, der gjorde det muligt for dem at overtrække konti med Flexcoin og Poloniex, to websteder, der letter bitcoin-transaktioner, og udnyttede dem til at stjæle bitcoins fra de to tjenester. Anfaldene bragte Flexcoin ud af drift og koste Poloniex brugere 12,3 procent af deres bitcoins.

Flexcoin, der beskrev sig selv som "verdens første bitcoin-bank", meddelte mandag, at den lukker ned, efter at hackere stjal 896 bitcoins til en værdi af omkring 600.000 dollars fra sin "hot wallet" - en bitcoin-tegnebog, der er forbundet til Internettet. Virksomheden frigav flere detaljer om hacket i en opdatering, der blev offentliggjort på sit websted sidst på tirsdag.

Angriberen skabte først en ny Flexcoin-konto og deponerede nogle bitcoins i den, sagde Flexcoin i opdateringen. Derefter "udnyttede han med succes en fejl i koden, der tillader overførsler mellem flexcoin-brugere. Ved at sende tusinder af samtidige anmodninger var angriberen i stand til at 'flytte' mønter fra en brugerkonto til en anden, indtil den sendende konto blev overtrækket, før saldoer blev opdateret . Dette blev derefter gentaget gennem flere konti, hvorved beløbet blev snebold, indtil angriberen trak mønterne tilbage. "

Virksomheden beskrev sårbarheden som en fejl i sin front-end, men afklarede ikke, hvorfor dets system ikke gjorde rede for overtrækning.

"Beskrivelsen fra Flexcoin minder mig om sårbarheder, jeg plejede at se i online bankapplikationer for 10 år siden," sagde Amichai Shulman, CTO for sikkerhedsfirmaet Imperva, via e-mail. "En individuel sårbarhed kan undskyldes, idet det ikke er overvågning på plads for at registrere det i rette tid."

"Uden flere detaljer er det svært at sige nøjagtigt, hvor kompliceret betingelsen var, men det faktum, at det krævede flere aktive konti og anmodninger, gør det mindre sandsynligt, at de ville have fundet denne tilstand gennem grundlæggende test," sagde Tim Erlin, direktør for sikkerhedsrisikostrategi hos sikkerhedsfirmaet Tripwire, via e-mail.

Hvorvidt sårbarheden var kompleks eller grundlæggende er imidlertid ikke så vigtig som den påvirkning, det sagde Erlin. "Alvoren i fejlen fremgår af indvirkningen: Flexcoin er ude af drift."

En bitcoin-udveksling kaldet Poloniex meddelte også tirsdag, at en angriber stjal 12,3 procent af sine midler ved hjælp af en teknik, der resulterede i overtrækkede konti. Det er dog ikke klart, om angrebet er relateret til den mod Flexcoin.

"Hackeren opdagede, at hvis du placerer flere tilbagetrækninger i stort set det samme øjeblik, vil de blive behandlet på mere eller mindre samme tid," sagde en bruger ved navn busoni, der identificerede sig selv som ejeren af ​​Poloniex-børsen, på BitcoinTalk forum. "Dette vil resultere i en negativ balance, men gyldige indsættelser i databasen, som derefter opsamles af tilbagetrækningsdæmonen. Det største problem her er, at revisions- og sikkerhedsfunktionerne ikke eksplicit var på udkig efter negative balance."

Poloniex var heldigere end Flexcoin, fordi den opdagede den usædvanlige tilbagetrækningsaktivitet og frøs transaktioner, før angriberen forårsagede større skade. Udbetalinger fra børsen er suspenderet, indtil problemet er løst.

Poloniex-ejeren specificerede ikke, hvor mange bitcoins 12,3 procent af midlerne repræsenterer, men han planlægger at jævne trække det tabte beløb fra alle brugersaldoer og inddrive det i tide fra vekslingsgebyrer, som vil blive rejst for at fremskynde processen.

Han sagde også, at han vil dække en del af gælden fra sine egne penge, men ikke det hele. ”Hvis jeg havde penge til at dække hele gælden lige nu, ville jeg dække det med hjerteslag,” sagde han. "Jeg gør det simpelthen ikke, og jeg kan ikke bare trække det ud af tynd luft."

Flexcoin- og Poloniex-hændelserne kommer efter Mt. Gox sagde, at hackere stjal en stor mængde bitcoins fra den fremtrædende bitcoin-børs, hvilket førte til, at virksomheden erklærede konkurs i sidste uge.

Shulman er bekymret over mønsteret af sikkerhedsbrud i de sidste par måneder, som resulterede i tyverier fra bitcoin-udvekslinger og andre tjenester.

"Vi ser 'økonomiske' organisationer, der er relateret til bitcoin, kollapse som et tårn af kort," sagde han. "At ikke have nogen evne til at komme sig (økonomisk) fra et online-angreb er ikke noget, vi kunne forvente i et modent finansmarked. Jeg tror, ​​at det, som bitcoin-brugere lærer nu, den hårde måde, er, at der er nogle fordele med det eksisterende ' centraliseret 'reguleret finansiel infrastruktur (som f.eks. tilsyn og forsikring).'

Erlin mener, at det nylige udslæt af bitcoin-tyverier faktisk er bevis for, at Bitcoin er et gyldigt valutasystem. Men "det vil kun forblive, hvis markedet kan modnes beskyttelsesniveauet omkring det," sagde han.

"Da der ikke er noget tilsyn med revision implementeringer af Bitcoin-processer og ingen organisation, der bakker valutaen, formoder jeg, at vi vil se flere hændelser som dette, og nogle af disse hændelser vil påvirke enkeltpersoner såvel som virksomheder som Flexcoin," sagde Dwayne Melancon, CTO for Tripwire, via e-mail.

Ifølge Bitcoin wiki-stedet er det at holde et stort antal bitcoins i en varm tegnebog "en grundlæggende dårlig sikkerhedspraksis." Det er almindeligt, at bitcoin-børser holder nogle midler i varme tegnebøger for at lette øjeblikkelige tilbagetrækninger, men den bedste praksis er kun at gøre dette med små beløb.

"Flexcoin har gjort ethvert forsøg på at holde vores servere så sikre som muligt, herunder regelmæssig test," sagde Flexcoin. "I vores ~ 3 år med eksistens har vi med succes frastød tusinder af angreb. Men til sidst var dette simpelthen ikke nok."

”At have været dette lille selskabs død, efter de uendelige arbejdstimer, vi har lagt ned, var aldrig vores intention,” sagde virksomheden. "Vi har svigtet vores kunder, vores forretning og i sidste ende Bitcoin-samfundet."

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.