Details von $ 5 Million Bitstamp Hack Revealed

Sechs Mitarbeiter von Bitstamp wurden in einem wochenlangen Phishing-Versuch gezielt, der bis zum Diebstahl von etwa $ 5m in Bitcoin im Januar führte, nach einem unbestätigten Incident Report, der intern von der Bitcoin entworfen werden soll Austausch.

Das vertrauliche Dokument, das von einem Einmalkonto an Reddit gebucht wurde, bietet einen tiefen Einblick in das, was als die innere Geschichte des Hacks angesehen wird, was zu einem Verlust von knapp 19 000 BTC führte Jahr. Seitdem hat das Unternehmen knapp Details über das, was hinter den Kulissen stattgefunden hat, unter Berufung auf Vertraulichkeit bezüglich der Untersuchung der verlorenen Mittel.

Die Ergebnisse des Berichts sind bemerkenswert, da sie die Risiken für den Bitcoin-Austausch veranschaulichen, einschließlich sozialtechnischer Angriffe, in denen personenbezogene Daten verwendet werden, um Opfer in die Bereitstellung eines Zugangs zu sensiblen Materialien zu bringen.

Im Fall von Bitstamp nutzten die hinter dem Angriff Skype und E-Mail, um mit Mitarbeitern zu kommunizieren und versuchen, Dateien mit Malware zu verteilen, indem sie ihre persönlichen Geschichten und Interessen ansprechen. Das System von Bitstamp wurde kompromittiert, nachdem der Systemadministrator Luka Kodric eine Datei heruntergeladen hatte, von der er glaubte, dass er von einem Vertreter für eine Organisation geschickt worden war, die seine Mitgliedschaft suchte.

Der Bericht, der dem Bitstamp-Generalrat George Frost zugeschrieben wurde, erklärte:

"Am 11. Dezember hat der Angreifer im Rahmen dieses Angebots eine Reihe von Anhängen geschickt. Eines davon, UPE_application_form. doc, enthielt verschleiertes bösartiges VBA-Skript. Wenn sie geöffnet wurde, lief dieses Skript automatisch und zog eine schädliche Datei aus der IP-Adresse 185. 31. 209. 145, wodurch die Maschine beeinträchtigt wurde. "

Letztendlich konnten die Angreifer auf zwei Server mit der Brieftasche zugreifen. Dat-Datei für Bitstamps heiße Brieftasche und die Passphrase für diese Datei.

Die Informationen, die in dem Bericht enthalten sind, sollen aus einer Drittanbieteruntersuchung des digitalen Forensik-Unternehmens Stroz Friedberg sowie von Ermittlern, die für den US Secret Service, das Federal Bureau of Investigation und die britische Cyberkriminalität arbeiten, stammen Behörden.

Ab dem Entwurf des Berichts war die Erforschung des Hacks noch im Gange, aber in naher Zukunft wurde eine Verhaftung erwartet. Der Bericht bezieht sich auf eine Anstrengung von Ermittlern, um eine "Honigfalle" zu schaffen, um [den Angreifer] in das Vereinigte Königreich zu locken, um eine Verhaftung zu machen. "

Bitstamp lehnte es ab, die Echtheit des Berichts zu kommentieren, wenn er erreicht wurde. Ein Vertreter für Stroz Friedberg war nicht sofort zur Kommentierung verfügbar.

Ausgedehnter Phishing-Versuch

Nach dem Bericht fand der früheste Phishing-Versuch am 4. November statt, als einer der Angreifer den Bitstamp-Chef-Technologie-Offizier Damian Merlak mit kostenlosen Eintrittskarten für ein Punk-Rock-Festival kontaktierte.

Chief Operating Officer Miha Grcar wurde von Skype in der Mitte Novemer von jemandem kontaktiert als Reporter kontaktiert. In diesem Austausch zitierte der Einzelne vergangene Artikel von Grcar geschrieben, als er selbst ein Reporter war, der Nachrichten in Griechenland enthielt.

Der Bericht merkt:

"Am 26. November, als Teil davon aus einer Offline-Datei (zB Word-Dokument). Austausch, ivan. ausländische Polizei versuchte, ein Wortdokument eines kürzlich erschienenen Artikels zu schicken, der angeblich einen Kommentar von Herrn Grcar suchte. Herr Grcar lehnte es ab, das Dokument zu akzeptieren. "

Zwei Tage zuvor wurde der Bitstamp-Unterstützungsleiter Anzej Simicak auch über Skype erreicht, und in diesem Fall stellte der Angreifer als jemand auf, der mehr Informationen über RippleWise suchte, ein Projekt, für das Simicak als COO fungiert.

Anfang Dezember wurden mehrere weitere Bitstamp-Mitarbeiter kontaktiert, darunter auch Kodric, deren Konto letztlich kompromittiert wurde. Mitarbeiter Miha Hrast's Computer wurde dann kompromittiert, nachdem er auf Skype gemeldet wurde, obwohl er keine Zugriffsberechtigungen für die Server hatte.

Server kompromittiert

Nachdem Kodric's Computer infiltriert wurde, wurden laut dem Bericht zusätzliche schädliche Dateien zwischen dem 17. und 22. Dezember erstellt. Am 23. Dezember wurde Kodric's Account verwendet, um sich an dem Server anzumelden, der die Brieftasche hielt. dat datei

Am 29. Dezember nutzten die Angreifer den Computer von Kodric, um auf die Server zuzugreifen, die die Brieftasche enthielten. Dat-Datei und die Brieftasche Passphrase.

"Wir vermuten, dass der Angreifer die Bitcoin-Brieftasche-Datei und Passphrase in diesem Stadium kopiert hat, aufgrund der Korrelation zwischen der Größe dieser Dateien und der Größe der Datenübertragung, die auf den Protokollen gesehen wird", berichtet der Bericht. "Obwohl der tatsächliche Inhalt der Transfers nicht aus den vorhandenen Protokollen bestätigt werden kann. "

Weniger als eine Woche später fährt der Bericht fort, die Brieftasche wurde geleert und bemerkte:

" Am 4. Januar entwässerte der Angreifer die Bitstamp-Brieftasche, wie auf der Blockkette bekannt war. Obwohl der maximale Inhalt dieser Brieftasche zu einem beliebigen Zeitpunkt 5 000 Bitcoins betrug, konnte der Angreifer während des ganzen Tages über 18 000 Bitcoins stehlen, da weitere Einlagen von Kunden vorgenommen wurden. "

Schnellantwort

Bitstamp bewegte sich schnell, um den Schaden zu beurteilen und zu mildern, laut Bericht, Erstellung eines unternehmensweiten Alarms und Einrichtung eines Incident Response Teams. Das Unternehmen wurde am Abend des 4. Januar auf den Diebstahl aufmerksam, und nach dem Auditoren entdeckten die Server den 29. Dezember und den Datentransfer.

Stroz Friedberg begann seine Untersuchung am 8. Januar und arbeitete aus dem slowenischen Büro des Unternehmens.

Der Bericht stellt fest:

"Kurz nach der Entdeckung des Angriffs machte Bitstamp eine teure, aber notwendige Entscheidung, unsere gesamte Handelsplattform und Nebensysteme von Grund auf neu aufzubauen, anstatt zu versuchen, unser altes System neu zu starten. Wir haben dies aus einer sicheren Sicherung, die (nach Disaster Recovery-Verfahren) in einer "sauberen Raum" -Umgebung beibehalten wurde. "

Der Bericht fügte hinzu, dass Bitstamp" beschlossen, unser Vertriebsnetz mit Amazon Cloud-Infrastruktur-Server in Europa "während dieser Zeit zu implementieren.

Schaden beurteilt

Bitstamp verlor 18, 866 BTC aus seiner heißen Brieftasche, im Wert von etwa $ 5, 263, 614 zu einer Zeit, als der Preis von Bitcoin durchschnittlich $ 279 betrug.

Doch der Schaden ging über die Bitcoins in der heißen Brieftasche, erklärte der Bericht und bemerkte: <829> "Bitstamp hat Kunden verloren, darunter auch Großkunden, die sich mit der Bereitstellung von Handelsdiensten in Bitcoin beschäftigen und einen erheblichen Schaden an seinem Ruf erlitten haben, die wir an dieser Stelle nicht genau quantifizieren können, aber die wir glauben, übersteigt 2 Millionen Dollar. "

Zusätzliche Kosten beinhalten $ 250, 000 an das Stroz Friedberg Team bezahlt, $ 250, 000 bezahlt an Entwickler, um die Plattform umzubauen und 150.000.000 $ in Beratungs- und Beratungsgebühren. Die Kosten, einschließlich der an Stroz Friedberg gezahlten, "werden nach dem Bericht weiter anfallen".

Im Zuge des Angriffs nutzt der Tausch jetzt mehrfachen Geldbörsenzugang und hat Xapo beauftragt, seinen kalten Briefträgerspeicher zu bewältigen.

Trotz der Verluste und des angeblichen Reputationsschadens hat das Unternehmen den Vorfall als Lernerfahrung umrahmt und schließt:

"Das war ein deutlicher Verlust für Bitstamp, und es bestand noch weitere Zweifel an der Sicherheit und Integrität des Bitcoin-Ökosystems . Allerdings könnte es viel schlimmer gewesen sein, und wir sind entschlossen, dies als Lerninstrument zu nutzen und als Grundlage für Verbesserungen in unserer Technologie, Sicherheitsprotokolle, Vorfallreaktionsplanung und so weiter zu machen. "

Vertrauliche Papiere Bild über Shutterstock

Der Führer in Blockchain News, CoinDesk ist eine unabhängige Medien-Steckdose, die für die höchsten journalistischen Standards strebt und sich durch eine strenge Reihe von redaktionellen Richtlinien. Haben Sie Neuigkeiten oder einen Story-Tipp, um unsere Journalisten zu schicken? Kontaktieren Sie uns unter news @ coindesk. com