Le vulnerabilità di prelievo hanno consentito il furto di bitcoin da Flexcoin e Poloniex

Gli hacker hanno scoperto debolezze di sicurezza che hanno permesso loro di superare gli account con Flexcoin e Poloniex, due siti Web che facilitano le transazioni bitcoin, e li hanno sfruttati per rubare bitcoin dai due servizi. Gli attacchi hanno messo fuori mercato Flexcoin e hanno costato agli utenti Poloniex il 12,3 percento dei loro bitcoin.

Flexcoin, che si è definita la "prima banca di bitcoin al mondo", ha annunciato lunedì che si sarebbe chiusa dopo che gli hacker avevano rubato 896 bitcoin per un valore di circa $ 600.000 dal suo "portafoglio caldo" - un portafoglio bitcoin collegato a Internet. La società ha rilasciato ulteriori dettagli sull'hacking in un aggiornamento pubblicato sul suo sito web martedì scorso.

L'attaccante ha prima creato un nuovo account Flexcoin e vi ha depositato alcuni bitcoin, ha detto Flexcoin nell'aggiornamento. Ha quindi "sfruttato con successo un difetto nel codice che consente i trasferimenti tra utenti flexcoin. Inviando migliaia di richieste simultanee, l'aggressore è stato in grado di" spostare "le monete da un account utente a un altro fino a quando l'account di invio è stato estratto, prima che i saldi fossero aggiornati Questo è stato poi ripetuto attraverso più account, aumentando a dismisura l'importo, fino a quando l'attaccante ha ritirato le monete. "

La società ha descritto la vulnerabilità come un difetto nel suo front-end, ma non ha chiarito il motivo per cui il suo sistema non ha tenuto conto del sovraccarico.

"La descrizione di Flexcoin mi ricorda le vulnerabilità che vedevo nelle applicazioni di online banking 10 anni fa", ha dichiarato via e-mail Amichai Shulman, CTO della società di sicurezza Imperva. "Una vulnerabilità individuale è scusabile, non avendo il monitoraggio in atto per rilevarlo tempestivamente non lo è."

"Senza ulteriori dettagli, è difficile dire esattamente quanto fosse complessa la condizione, ma il fatto che richiedesse più account e richieste attivi rende meno probabile che avrebbero trovato questa condizione attraverso test di base", ha affermato Tim Erlin, direttore di strategia di rischio per la sicurezza presso la società di sicurezza Tripwire, via e-mail.

Tuttavia, se la vulnerabilità fosse complessa o di base non è importante quanto l'impatto che ha avuto, ha detto Erlin. "La gravità del difetto è dimostrata dall'impatto: Flexcoin è fuori mercato".

Uno scambio di bitcoin chiamato Poloniex ha anche annunciato martedì che un utente malintenzionato ha rubato il 12,3 per cento dei suoi fondi utilizzando una tecnica che ha portato a conti correnti. Tuttavia, non è chiaro se l'attacco sia correlato a quello contro Flexcoin.

"L'hacker ha scoperto che se si effettuano più prelievi praticamente tutti nello stesso istante, verranno elaborati più o meno nello stesso momento", ha dichiarato un utente di Bitoniin su un bitcoin, che si è identificato come il proprietario dello scambio Poloniex Forum. "Ciò comporterà un saldo negativo, ma inserimenti validi nel database, che verranno poi raccolti dal demone di prelievo. Il problema principale qui è che le funzionalità di controllo e sicurezza non stavano esplicitamente cercando saldi negativi."

Poloniex è stato più fortunato di Flexcoin perché ha rilevato l'insolita attività di prelievo e ha bloccato le transazioni prima che l'attaccante causasse più danni. I prelievi dallo scambio sono stati sospesi fino alla risoluzione del problema.

Il proprietario di Poloniex non ha specificato quanti bitcoin rappresentano il 12,3 per cento dei fondi, ma ha in programma di dedurre uniformemente l'importo perso da tutti i saldi degli utenti e recuperarlo in tempo dalle commissioni di cambio, che verranno aumentate per accelerare il processo.

Ha anche detto che coprirà una parte del debito con i suoi soldi, ma non tutto. "Se avessi i soldi per coprire l'intero debito in questo momento, lo coprirei in un batter d'occhio", ha detto. "Semplicemente non lo faccio e non riesco a tirarlo fuori dal nulla."

Gli incidenti di Flexcoin e Poloniex vengono dopo il Monte. Gox ha detto che gli hacker hanno rubato una grande quantità di bitcoin dall'importante scambio di bitcoin, portando la società a dichiarare fallimento la scorsa settimana.

Shulman è preoccupato per il modello di violazioni della sicurezza degli ultimi mesi che hanno provocato furti da scambi di bitcoin e altri servizi.

"Vediamo organizzazioni" finanziarie "legate al crollo dei bitcoin come una torre di carte", ha detto. "Non avere alcuna capacità di recuperare (finanziariamente) da un attacco online non è qualcosa che ci aspetteremmo in un mercato finanziario maturo. Penso che ciò che gli utenti di bitcoin stanno imparando ora, nel modo più duro, sia che ci sono alcuni vantaggi nell'esistente ' centralizzata, "infrastruttura finanziaria regolamentata (come la supervisione e l'assicurazione per esempio)."

Erlin ritiene che la recente eruzione di furti di bitcoin sia in realtà la prova che Bitcoin è un sistema valutario valido. Tuttavia, "rimarrà tale solo se il mercato potrà maturare il livello di protezione che lo circonda", ha affermato.

"Dal momento che non vi è alcuna supervisione per controllare le implementazioni dei processi Bitcoin e nessuna organizzazione che supporta la valuta, sospetto che vedremo più incidenti come questo e alcuni di questi incidenti influenzeranno le persone, così come le aziende come Flexcoin", ha detto Dwayne Melancon, CTO di Tripwire, via e-mail.

Secondo il sito wiki Bitcoin, tenere un gran numero di bitcoin in un portafoglio caldo è "una pratica di sicurezza fondamentalmente scadente". È comune per gli scambi di bitcoin mantenere alcuni fondi in portafogli caldi per facilitare i prelievi immediati, ma la migliore pratica è farlo solo con piccole quantità.

"Flexcoin ha fatto ogni tentativo per mantenere i nostri server il più sicuri possibile, inclusi test regolari", ha affermato Flexcoin. "Nei nostri ~ 3 anni di esistenza abbiamo respinto con successo migliaia di attacchi. Ma alla fine, questo semplicemente non era abbastanza."

"Fare in modo che questa sia la fine della nostra piccola azienda, dopo le infinite ore di lavoro che abbiamo svolto, non è mai stato il nostro intento", ha affermato la società. "Abbiamo deluso i nostri clienti, i nostri affari e, in definitiva, la comunità Bitcoin".

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.