Seide Straße 2 verliert über $ 2. 6 Millionen in Bitcoins im angeblichen Hack

Dunkel-Markt-Website Silk Road 2 hat den Kunden gesagt, dass alle ihre Bitcoins nach einem massiven Hack gegangen sind, in dem mindestens 4, 476 Bitcoins (im Wert von über $ 2.6m zu aktuellen Preisen) sind glaubte gestohlen. Organisatoren auf der Website sind die Schuld der Kompromiss auf die Transaktion Malleability Angriff in den Nachrichten in dieser Woche.

"Unsere Erstuntersuchungen zeigen, dass ein Verkäufer eine kürzlich entdeckte Sicherheitsanfälligkeit im Bitcoin-Protokoll ausnannte, die als" Transaktionsverformbarkeit "bekannt ist, um immer wieder Münzen aus unserem System zurückzuziehen, bis es vollständig leer war", sagte ein Beitrag von Defcon, einer der Seiten Moderatoren, auf einem Forum, das sich auf dem Tor-Netzwerk befindet.

Die Post fügte hinzu, dass die Diebe angegriffen wurden, nachdem die Organisatoren der Website zu lange gedauert hatten, um auf eine weit verbreitete Industrie-Besorgnis über den Transaktions-Malleability-Angriff zu reagieren. "Trotz unserer verhärteten und pentesting-Verfahren war dieser Angriffsvektor außerhalb von Penetration Testbereich aufgrund der verwurzelt in der Bitcoin-Protokoll selbst ", sagte er.

Im Allgemeinen würden gute Sicherheitsprinzipien eine bitcoinbasierte Web-Site haben, die den Großteil der Bitcoins unter das Management in kaltem Speicher (dh offline gespeichert) setzt, damit sie nicht von Online-Angreifern gestohlen werden konnten. Allerdings sagte die Post, dass sie alle online gespeichert wurden, weil Back-End-Entwicklungen auf der Website.

"Wir haben vor, das neue Auto-Finale- und Streit-Center am vergangenen Wochenende neu zu starten", sagte Defcon in der Post. Die Implementierung der beiden Features hätte das Volumen der Aufträge, die fertig gestellt wurden, gestoßen, wodurch die Website alle Bitcoins sofort verfügbar macht.

Die Post kam mit reichlich Entschuldigung: "Ich hätte MtGox und Bitstamp's Lead und behinderte Abhebungen nehmen müssen, sobald die Malleability-Frage gemeldet wurde. Ich war langsam zu reagieren und zu skeptisch gegenüber der möglichen Frage zur Hand", sagte Defcon, bevor sie die betrügerischen Transaktionen veröffentlichen und um Hilfe bei der Erhebung des angeblichen Diebes bitten.

Die Post schlug vor, dass die Escrow-Brieftaschen (die Geld halten, bis Waren geliefert wurden) kompromittiert wurden. Eine Sache, die nicht klar war, ist, ob die persönlichen Brieftaschen der Leute (Holding-Fonds, die hochgeladen, aber nicht ausgegeben wurden oder von Kunden erhalten wurden, aber nicht zurückgezogen wurden) gestohlen worden waren. <99> Einige Postings auf den Foren schlugen vor, dass sie auch kompromittiert worden sind. "Erscheint zumindest in meinem Fall, während nur 1286 BTC (hinterlegt letzte Nacht) eine Transkation auf Blockchain sehen kann, die die Zahlung an eine Adresse gesendet hat Ich habe keine solche Transaktion gemacht ", sagte ein Benutzer und nannte sich" UncleFester ".

"Blockchain, die meine SR-Brieftasche entleert hat, also - Escrow und Brieftaschen sind alle weg: - (" sagte ein anderer, "meathead_420".

Andere schlugen vor, dass alle verbleibenden Münzen aus dem Silk Road 2 Server genommen worden wären, während die Situation gelöst war.

Wie ist es passiert?

Was noch unklar ist, ist, wie ein Transaktions-Malleability-Angriff zu einer vollständigen Entleerung eines Treuhandkontos führen könnte. Der Angriff beinhaltet das Ändern der ID einer Bitcoin-Transaktion, um den Absender zu glauben, dass es nicht passiert ist.

"

Ich war langsam zu reagieren und zu skeptisch von der möglichen Frage zur Hand. " Wie wir bereits in dieser Woche ausführlich beschrieben haben, reicht das Ändern der ID nicht aus, um eine Münze zu stören. Die Einzelperson oder Organisation, die die Bitcoins (in diesem Fall Silk Road) sendet, müsste vermutlich die Münzen sofort und automatisch im Falle einer betrügerischen Kundenbeschwerde zurücksenden und müsste feststellen, dass fast 5000 Bitcoins aus ihren Treuhandkonten verschwinden eine Augenbraue hochziehen

"Tut mir leid, aber wenn mt gox und bitstamp hatten die Nachsicht, um sich zurückzuziehen, während sie mit dem Bug behandelt haben. Warum hast du nicht die gleichen Maßnahmen getroffen?" fragte "Solist".

"Warum hat es

für immer gehabt, um Geld in und aus meiner Brieftasche zu bewegen, aber jedes letzte BTC verschwindet im Blinzeln eines Auges?" sagte "garconSR2" als Antwort auf die Defcon Post. Technische Experten waren verwirrt und skeptisch. "Würden Kriminelle dumme Fehler machen? Unendlich machbar. Die meisten tiefen Webseiten wie diese sind wahrscheinlich entweder Honeypots oder Long-Con-Scams", sagte Kern-Bitcoin-Entwickler Jeff Garzik.

Defon stellte einige Details des Angriffs zur Verfügung und erklärte, dass jemand, der wahrscheinlich in Frankreich tätig war, mehrere Kreditorenkonten verwendet, um von einander zu bestellen, die Schwachstelle zu finden und auszunutzen. Das primäre Konto wurde 'narco93' genannt, sagte der Post.

Defcon angeboten, um die am meisten gefährdeten aus dem Diebstahl zu helfen, indem er seine eigenen persönlichen Mittel. Mindestens ein Benutzer, dimon114, schien in Not zu sein. "Wenn meine Verkäufer nicht versendeten, was ich bestellt habe, bin ich jetzt in einer ernsten körperlichen Gefahr", sagten sie.

Während viele die Ehrlichkeit der Geschichte in Frage stellten, stürzten sich andere auf die Beweise von Defcon, um zu versuchen, mehr Details zu finden. Ein Benutzer fand eine Brieftasche online, die sie sagten, könnte ein wahrscheinliches Ziel für die Mittel sein. Diese Blockchain-Brieftasche scheint in den letzten zwei Tagen 8566 Bitcoins über 60 Transaktionen erhalten zu haben. Etwas mehr als die Hälfte von ihnen sind zum Zeitpunkt des Schreibens noch da. Es gibt keinen Beweis, dass diese Brieftasche von jedem angeblichen Bitcoin Dieb in diesem Stadium verwendet wurde.

Anonymes Benutzerbild über Shutterstock

Der Führer in Blockchain News, CoinDesk ist eine unabhängige Medien-Steckdose, die nach den höchsten journalistischen Standards strebt und sich an eine strenge Reihe von redaktionellen Richtlinien hält. Haben Sie Neuigkeiten oder einen Story-Tipp, um unsere Journalisten zu schicken? Kontaktieren Sie uns unter news @ coindesk. com