Дыра в «эфире»

[seostock]

Насколько уязвимы криптовалютные кошельки

Украсть сотни миллионов, чтобы вернуть их обратно: так называемые «белые хакеры» завладели суммой в криптовалюте ether («эфир»), эквивалентной $200 млн, хотя позднее пообещали вернуть виртуальные деньги обратно владельцам. Масштабную кражу позволила совершить ошибка в системе хранения цифровой валюты. Почему виртуальные кошельки оказались настолько уязвимы?

White Hat Group — сообщество «благородных» хакеров, которые взламывают электронные кошельки платформы Etherium и указывают разработчикам на ошибки, а затем возвращают деньги обратно.

Но в этот раз активисты опоздали — обнаружили уязвимость уже после того, как ей воспользовались настоящие киберпреступники. Мошенники «открыли» 500 виртуальных кошельков и украли криптовалюту на $30 млн. Поживиться хакеры могли и большей суммой, но участники White Hat им помешали — сами вывели из кошельков $185 млн в «эфире», которые обещали затем вернуть. Как выяснилось, дыра в системе — следствие ошибки в коде, который запускает перевод денег, пояснил «Коммерсантъ FM» сооснователь блокчейн-платформы для управления финансами Wirex Павел Матвеев: «Ethereum — система публичная, то есть доступ к коду есть у всех. Проблема заключалась в том, что в коде памяти кошелька был баг, была ошибка, которая была исправлена в течение 24 часов, но деньги уже были украдены. Там была функция, которая позволяла изменить владельцев этого кошелька. То есть что сделали хакеры? Они изменили владельцев кошелька, указав свои данные, и смогли сделать переводы на свои кошельки».
Платформу Etherium, основанную на технологии блокчейн, создал программист с российскими корнями Виталик Бутерин. Etherium позволяет не только проводить операции с криптовалютой, но и заключать любые сделки в виртуальном пространстве. Ей пользуются такие компании как Microsoft, JP Morgan и IBM. По словам экспертов, уязвимый код, который привел к краже десятков миллионов долларов – не вина команды Бутерина, а ошибка разработчика кошелька Parity. Однако создателям Etherium, по мнению аналитиков рынка, тоже не стоит сидеть сложа руки. Им необходимо разработать универсальную систему контроля безопасности, которой сейчас нет, заключают специалисты. Впрочем, полностью исключить кражи с Etherium-кошельков все равно не получится, считает независимый эксперт по информационной безопасности Михаил Дьяков: «Скорее, виноваты пользователи Ethereum, то есть те пользователи, не которые деньги майнят или продают, а те, которые создают для него свои приложения. Безусловно, это тревожный сигнал, потому что у Ethereum гораздо шире применение, чем у любой криптовалюты. Естественно, у всех возможностей есть обратная сторона — это возможности и для бандитов. Всегда находятся широкие дыры. Это уже не первый случай и наверняка не последний».

Сами по себе транзакции — уже после того, как они прошли в любых системах блокчейн, в том числе и в Etherium, — изменить невозможно: после того как сделка совершена, информация о ней в зашифрованном виде копируется на компьютеры по всему миру.

Но у хакеров остается два способа. Первый — искать ошибку в коде, который запускает транзакцию. Второй – классический: киберпреступники отсылают пользователям сообщения от имени системы блокчейн, а потом ждут, когда жертва пройдет по указанной ссылке и предоставит хакеру пароль от кошелька, то есть в итоге — все свои виртуальные деньги.

В начале июля сообщалось, что хакерам удалось обокрасть одну из крупнейших в мире бирж криптовалют – они взломали южнокорейскую платформу Bithumb. С клиентских счетов тогда исчезли миллионы долларов.