Суббота, 30 апреля оказалась омрачена новостью об очередных успехах хакеров, атакующих южнокорейские криптобиржи. Жертвой преступников вновь стала биржа Bithumb, ранее уже продемонстрировавшая слабину своей кибербезопасности.
Началось все с утреннего твита в официальном аккаунте Bithumb, в котором биржа объявила о приостановке приема депозитов и вывода средств. Как выяснилось из расширенного сообщения, на этот шаг платформе пришлось пойти после того, как в 10:15 (скорее всего, по южнокорейскому времени) 29 марта ее система мониторинга торгов выявила «аномальные выводы криптовалют», к которым оказались причастны инсайдеры.
Партнер венчурной фирмы Primitive Ventures Дави Ван одной из первых обратила внимание на аномальные перемещения средств с кошельков Bithumb. Она написала, что около 3 млн токенов EOS было выведено с «холодного» кошелька биржи, правда, позже Ван уточнила, что скорее всего речь все же идет о «горячем» кошельке.
BREAKING ??????
Bithumb is being hacked, at its EOS cold storage level!!! Over 3million EOS has been transferred out ??????
Detail to be reported, confirmed by security firm who’s auditing for Bithumb
— Dovey Wan ?? (@DoveyWan) 30 марта 2019 г.
Как удалось выяснить Ван, кража средств произошла после того, как был похищен приватный ключ к счету Bithumb в блокчейне EOS с именем пользователя g4ydomrxhege. Она привела список основных бирж, на которые были выведены похищенные монеты:
- EXMO: 662,600 EOS
- Huobi: 263,605 EOS
- Changelly 143,511 EOS
- KuCoin: 96,270 EOS
- CoinSwitch: 38,725 EOS
Дополнительно менее значимые суммы были выведены на BINANCE и BW. Позже аналитик выложила более подробный разбор произошедшего:
3/29 post 11PM - hacker has been disposing stolen EOS via ChangeNow to downstream exchanges including Huobi, Kucoin, the distribution is still on going
3/30 midnight, Bithumb started to transfer remaining balance of g4ydomrxhege/new deposit into its cold wallet bithumbshiny
— Dovey Wan ?? (@DoveyWan) 30 марта 2019 г.
По ее словам, остаток средств был выведен злоумышленником в свой холодный кошелек bithumbshiny. Переводы продолжались вплоть до того момента, пока компания не поняла, что атака продолжается, и не начала переводить свои средства в кошелек холодного хранения, который, по всей видимости, не был затронут взломом.
Произошедшее незначительно сказалось на курсе EOS, который испытал кратковременную коррекцию по отношению к доллару.
Как выяснилось позже из комментариев к этому посту, также оказался взломан XRP-кошелек Bithumb. С него было выведено около 20 млн токенов XRP, что в долларовом эквиваленте составляет чуть более $6 млн.
Итогом разбирательства в Twitter стал негодующий пост от Дави Ван, в котором она называет безумием сложившуюся ситуацию и обращает внимание на то, что:
- Это второй крупный хак Bithumb менее чем за год, и они, кажется, не вынесли из предыдущего опыта буквально ничего.
- Биржа хранила большое количество средств ($15 млн) в одном кошельке. При этом такие крупные суммы обязательно требуют длительной проверки и дополнительных мер безопасности.
- Bithumb – единственная криптобиржа в Южной Корее, которая не имеет банковского партнера. Учитывая это и то, что при последнем крупном взломе она потеряла более $30 млн, становится совершенно непонятно, как она умудрилась вообще получить лицензию от корейских регуляторов и продолжить работу.
Еще один комментатор, CryptoX, предположил, что инсайдерский взлом мог быть связан с недавним сокращением 50% персонала компании. Возможно, какой-то мстительный сотрудник решил напоследок сделать подлянку работодателю?
В обновленном сообщении в блоге представители Bithumb признали вину биржи в том, что она сосредоточилась на защите от внешних атак и не проверила своих сотрудников. Компания заверила, что инцидент не повторится, поскольку в настоящий момент разрабатывается система проверки работников, как действующих, так и вновь нанимаемых.
По утверждениям Bithumb, сейчас биржа ведет интенсивное расследование произошедшего совместно с агентством киберполиции, Корейским агентством по Интернету и безопасности (KISA) и компаниями по кибербезопасности. Она также обещает сделать все возможное, чтобы как можно быстрее возобновить ввод и вывод средств, обеспечить стабильность сервиса и в дальнейшем возместить все убытки.
Тем временем одна из бирж, куда поступили украденные средства, Changelly, опубликовала сообщение, в котором утверждается, что криптообмен смог выявить и заморозить 243 000 XRP ($76 000) и 114 000 EOS ($479 000), которые, как полагают, переведены со взломанной биржи Bithumb. XRP был отправлен в Changelly в восьми различных транзакциях, а EOS был переправлен в 52 транша. Соответствующие адреса кошелька занесены в черный список.