fbpx

5 absurdalnych wpadek giełd kryptowalut

6 min
Michał Misiura
wpadki giełd kryptowalut Bezpieczeństwo

Bitcoin jest z nami już od 11 lat. Po powstaniu pierwszej kryptowaluty powstały kolejne. Wyrósł całkowicie nowy rynek, powstały giełdy, kantory, bitomaty, portfele sprzętowe i koszulki z napisem „keep kalm and hodl”. Bitcoin jako oparta na blockchainie technologia informatyczna sprawdził się, ale tam gdzie są ludzie, jest miejsce na ludzkie błędy. Właśnie tych błędów dotyczy to zestawienie absurdalnych wpadek giełd kryptowalut.

Wartość obecnie czyli 1 BTC = $

Idąc od początku, czyli zarania dziejów bitcoina:

Bitomat

„Gdy wejdzie za dużo RAMu”

  • Gdzie: Polska
  • Kiedy: lipiec 2011
  • Co: 17 000 bitcoinów

Wartość w chwili straty: około $225 000

Wartość obecnie: $

Bitomat – największa polska wpadka (albo konspira) i to z samych początków istnienia giełd kryptowalut. Rosnąca popularność bitcoina przełożyła się na większy ruch na stronie giełdy. Aby zwiększyć jej wydajność właściciel postanowił dorzucić kilka kostek RAMu, w efekcie czego:

nieoczekiwanie cała maszyna wirtualna została skasowana, wszystkie dane zgromadzone na serwerze zostały utracone!, w tym zapisy dotyczące portfela bitcoinowego oraz jego kopie zapasowe (backupy).

– poinformował szef giełdy Bartek Szabat

Właściciel miał natychmiast skontaktować się z ludźmi z supportu Amazon Web Services. Otrzymał jednak odpowiedź, że nie mogą nic zrobić, a skasowana maszyna była skonfigurowana w ten sposób by po zamknięciu systemu automatycznie niszczyła wszystko co jest w niej zapisane. Szabat twierdził, że nie miał nic wspólnego z takimi ustawieniami. Przynajmniej tyle jeśli chodzi o oficjalne oświadczenie.

Gdy mamy do czynienia z dużą stratą bitcoinów zawsze musi pojawić się teoria spiskowa. Paliwo dla niej dostarczyło kilka detali. Mianowicie po dwóch dniach awarii serwis został przywrócony, a klienci znaleźli w nim zapisy swoich transakcji. Pomimo wcześniejszych doniesień,  backupy musiały więc jednak przetrwać, ale wciąż nie było kryptowalut. Ponadto historia transakcji wykazała, że podczas awarii przeprowadzono kilka transakcji. Jak to możliwe skoro nikt nie miał dostępu do giełdy? Boty?

Wnioski i nasuwające się hipotezy można pogrupować na:
a) teorie spiskowe kłamią i wydarzyła się wpadka albo
b) teorie spiskowe kłamią i winę ponosi Amazon lub
c) ktoś włamał się na giełdę, ukradł bitcoiny i zatarł po sobie ślady, albo
d) była to robota wewnętrzna.

Historia doczekała się szczęśliwego zakończenia: Giełda Mt.Gox wykupiła Bitomat razem z klientami i pokryła ich straty. Mamy więc happy end (o ile użytkownicy nauczyli się czegoś i wyprowadzili środki na własne portfele, bo historia Mt.Gox też jest nam dobrze znana).

BitPay

„Nawet haker się zdziwił”

  • Gdzie: USA
  • Kiedy: grudzień 2014
  • Co: 5000 bitocoinów

Wartość w chwili straty: $2 000 000

Wartość obecnie: $

Duża firma będąca pośrednikiem w przyjmowaniu płatności bitcoin dała podejść się na najprostszy phishing. Same okoliczności sprawy stały się znane dzięki dokumentom z przepychanek pomiędzy BitPay’em a firmą ubezpieczeniową, która odmówiła wypłaty pieniędzy.

Zaczęło się od tego, że haker przejął dostęp do skrzynki mailowej dyrektora finansowego BitPay’a Bryana Krohna. Dane logowania zdobył poprzez prosty atak phishingowy. Krohn zalogował się na swojego gmaila, korzystając z linka podanego przez hakera. Następnie przestępca przeanalizował zawartość skrzynki i przeszedł do działania.  Ze skrzynki Krohna wysłał email do CEO BitPay’a Stephena Paira, w którym zlecił przelanie 1000 bitcoinów dla dużego klienta, który nie musiał natychmiast regulować swoich zleceń.

Oczywiście coiny trafiły do portfela hakera, który ośmielony postanowił poprosić o kolejny 1000 BTC, który także otrzymał. Prawdopodobnie był sam zdziwiony efektami swojego wybiegu i przerwał zlecenia. Wrócił do nich następnego dnia prosząc o 3000 bitcoinów. Tym razem w głowie Stephena Paira zapaliła się ostrzegawcza lampka. W związku z tym postanowił… wysłać maila do Krohna, żeby upewnić się, że wszystko jest w porządku. Haker otrzymał maila i potwierdził, że wszystko się zgadza. 3000 bitcoinów trafiło do jego portfela. Wtedy Pair dowiedział się, że firma, dla której miały być przeznaczone bitcoiny nigdy o nie nie prosiła.

Finałem tej historii jest proces pomiędzy BitPay’em a firmą Massachusetts Bay Insurance Company, w wyniku którego media dowiedziały się o szczegółach ataku. Ubezpieczyciel odmówił wypłaty odszkodowania, stwierdzając że przecież nikt nie włamał się do żadnego komputera ani portfela należącego do giełdy.

KipCoin

„Nie ma to jak nie zmienić hasła po haku… sprzed 4 miesięcy”

  • Gdzie: Chiny
  • Kiedy: luty 2015
  • Co: 3000 BTC

Wartość w chwili straty: $650 000

Wartość obecnie: $

Hakerzy przejęli serwer hostingowy dostarczany przez firmę Linode, która obsługiwała kilka giełd kryptowalut i zmienili hasła wewnętrzne. Walka o odzyskanie dostępu trwała miesiąc, ale w końcu zakończyła się odparciem cyber-bandytów. Co wydawałoby się logiczne hakerzy wykonując udany atak przejęli hasła do hostowanych platform. Okazało się jednak, że KipCoin na to nie wpadł. Skarbce giełdy zostały naruszone w październiku, a więc 4 miesiące po przejęciu serwera Linode. Pracownicy firmy nie zmienili kluczy, haseł… nie zmienili nic.

ShapeShift

„Do 3 razy sztuka”

  • Gdzie: Szwajcaria
  • Kiedy: kwiecień 2016
  • Co: 469 BTC, 5 800 ETH i 1 900 LTC

Wartość w chwili straty: około $200 000

Wartość obecnie: około $5 900 000

Szwajcarska platforma ShapeShift zaczęła określać się mianem „najbezpieczniejszej giełdy kryptowalut na kuli ziemskiej” i wkrótce po tym została okradziona 3 razy w ciągu 2 tygodni. Jej prezes Erik Voorhees przedstawił swoją wersję wydarzeń, ale jak pięknie pisał jeden z badaczy tematu „jest w niej więcej czerwonych flag niż w szwajcarskim slalomie i więcej dziur niż w szwajcarskim serze” (artykuł, z którego pochodzi cytat).

Voorhees twierdził, że jeden z ważniejszych adminów giełdy, pseudonim Bob, miał stworzyć backdoor na komputerze współpracownika. Następnie okradł skarbiec ShapeShift’a korzystając z własnych kluczy i komputera. Sprawa wydała się, więc zły pracownik uciekł ze Szwajcarii oskarżając swoich pracodawców o rasizm. Voorhees uznał za istotną część opowieści fakt, że złodziej był biały i zniknął w takim popłochu, że zostawił na miejscu swojego psa i cały dobytek. Giełda tymczasowo zawiesiła działanie, odebrała dostęp Bobowi i przeniosła się na hosting w chmurze.

Później, według wersji Voorheesa, Bob przebywający za granicą sprzedał backdoor do komputera swojego współpracownika innemu hakerowi, który miał infiltrować ShapeShift. Niestety nie wiemy gdzie się poznali, ale zapewne na specjalnym forum dla hakerów infiltrujących ShapeShift. Haker kupił backdoor Boba za 50 BTC i wyczyścił gorące portfele ShapeShifta zyskując 6 razy więcej.

Giełda spanikowała i przeniosła się na nowy hosting, głęboko wierząc, że to załatwi problem. Nic to jednak nie dało, a haker korzystający z backdoora Boba, wyczyścił gorące portfele giełdy ponownie. Po trzeciej kradzieży ShapeShift otrząsnął się i wzmocnił obronę na tyle, że nikomu nie udało się wyprowadzić już nic więcej. Po wszystkim Voorhees miał zapłacić drugiemu hakerowi 2 bitcoiny w zamian za opowiedzenie mu historii, która właśnie się kończy. Dziwne, prawda?

CoinSecure

„Pewnego rodzaju atak”

  • Gdzie: Indie
  • Kiedy: kwiecień 2018
  • Co: 438 BTC

Wartość w chwili straty: $3 500 000

Wartość obecnie: $

Na tej indyjskiej giełdzie kryptowalut, klucze do portfeli miały znajdować się w rękach tylko dwóch osób. Pierwszą z nich był CEO spółki, a drugą CSO czyli szef ochrony. O bezpieczeństwo giełdy dbał Aminabh Saxena, który 9 kwietnia, oświadczył że doszło do „pewnego rodzaju ataku”, w wyniku którego zniknęło 438 bitcoinów. Prawdopodobnie dość szybko pogubił się w zeznaniach, gdyż już 3 dni później prezes CoinSecure Mohita Kalra oświadczył, że „pewnego rodzaju atak” wykonały lepkie rączki pana Aminabha.

CSO zniknął z bitcoinami, a giełda zaczęła zastanawiać się jak spłacić swoich klientów. W końcu z uwagi na brak możliwości odzyskania straconych kryptowalut zadecydowano co następuje: 10% zwrotu dokona się w bitcoinach, a 90% w indyjskich rupiach. CoinSecure może posłużyć za przykład tego jak spłacać klientów, aby nie spłacić wszystkich. Mohita Kalra, ogłosił 26 czerwca, że odszkodowanie zostanie wypłacone tylko tym klientom, którzy złożą stosowne podanie oraz przejdą przez procedury KYC do końca miesiąca. Każdy kto przeoczył oświadczenie lub nie wyrobił się w 5 dni roboczych, miał problem.

Zakończenie

Jak pokazują podane przykłady, gderania o tym, że giełda kryptowalut to nie prywatny portfel nigdy za wiele. Jak założyć portfel, przeczytacie tutaj, a ocenę swojej giełdzie kryptowalut możecie wystawić w tym miejscu (szczególnie jeśli zawiodła Was tak, jak Aminabh Saxena zawiódł Mohite Kalre). Jeżeli zostaliście przez kogoś oszukani zgłoście SCAM, a jeśli macie pomysł na incydenty i wpadki, dla których warto byłoby napisać drugą część takiego zestawienia, dajcie znać w komentarzach.

Dodaj komentarz