» »

Bitstamp zaradi suma vdora zaustavil trgovanje

Bitstamp zaradi suma vdora zaustavil trgovanje

Nejc Kodrič in Damijan Merlak, ustanovitelja Bitstampa

Slo-Tech - Ena najbolj znanih borz za trgovanje z bitcoini, Bitstamp, je danes zjutraj zaustavila trgovanje in onemogočila izplačila bitcoinov zaradi utemeljenega suma vdora. Neznanci naj bi včeraj pridobili dostop do ene izmed denarnic, v kateri Bitstamp hrani bitcoinske depozite svojih strank.

Upravljavci strani zagotavljajo, da razpolagajo z zadostnimi rezervami, da bodo pokrili vse pologe svojih komitentov v bitcoinih na javno objavljene naslove denarnice, ki so bili izvedeni danes do 10.00 ure po slovenskem času. Ob 9.25 uri so vse komitente po elektronski pošti pozvali, naj nemudoma prenehajo nakazovati bitcoine v staro denarnico. Prav tako zagotavljajo, da so vsi pri Bitstampu deponirani bitcoini na varnem, ker so bili shranjeni v denarnici, ki ni bila povezana v internet (cold storage). Le manjši del, ki je potreben za dnevno zagotavljanje likvidnosti, je namreč dosegljiv prek interneta (hot storage).

Težave je na Twitterju potrdil tudi Bitstampov soustanovitelj in izvršni direktor Nejc Kodrič. Poudaril je, da je premoženje komitentov na varnem in da težave pospešeno odpravljajo.

Ker Bitstamp ni postregel z nobenim pojasnilom, razen da so zabeležili morebiten nepooblaščen dostop do denarnice in morebitno izgubo zasebnih ključev, to podžiga špekulacije. Na spletni strani poudarjajo, da so se za popolno zaustavitev trgovanja odločili zaradi previdnosti, in odločno zanikajo kakršnokoli večjo katastrofo, kot se je primerila Mt.Goxu.

Na internetu že ugotavljajo, kaj naj bi se bilo zgodilo. Pojavljajo se velikanske transakcije, ki ponujajo sumljivo visoko provizijo: bodisi gre za ukradene bitcoine bodisi Bitstamp prednostno premetava svoje bitcoine zaradi varnosti.

Bitstamp ni največja borza z bitcoini na svetu, je pa ena izmed najdlje delujočih in najbolj spoštovanih. Tak status si je zagotovila s spoštovanjem zakonodaje in poslovanjem v Evropski uniji; podjetje ima sedež v Veliki Britaniji, bančne račune pa v Sloveniji. Dvigovanje evrske gotovine je na Bitstampu daleč najlaže, zato je v Evropi nadpovprečno priljubljen, hkrati pa komitente ščiti stroga evropska zakonodaja. Tega pa ne moremo trditi za BTC China, ki je prepuščen muhavosti kitajskih oblasti, ali BTC-e, katerega lastniki sploh niso znani. Prav zaradi tega je Bitstamp tako pomemben.

Vrednost bitcoina je začela padati že v soboto, danes pa je dosegla vrednost 270 dolarjev, kar je najnižja vrednost po novembru 2013.

100 komentarjev

«
1
2 3

SimplyMiha ::

Deja vu?

Blazz ::

was only a matter of time...

matijadmin ::

Dejavu, ja. Član ST foruma je pred časom že odkril tragikomično ranljivost, ki je omogočala dostop do trgovalnih računov drugih uporabnikov. Pošteno je opozoril na tveganje, v zameno pa niti zahvale.

fiction ::

Uf, skoraj 19k BTC ali okrog 5 miljonov je šlo. Tudi če je nekdo za to kupil 0-day exploite je dobro zaslužil. Ne dvomim v to, da ima Bitstamp dovolj akumulirane rezerve, da to lahko povrne, vprašanje pa je če to sploh hoče. Obstajajo že stave na to temo https://www.predictious.com/economics/b...

matijadmin je izjavil:

Dejavu, ja. Član ST foruma je pred časom že odkril tragikomično ranljivost, ki je omogočala dostop do trgovalnih računov drugih uporabnikov. Pošteno je opozoril na tveganje, v zameno pa niti zahvale.
Lahko prosim malo več o tem. Predvidevam, da je bilo to že odpravljeno (kljub temu, da reporter ni dobil zasluženega credita)...

Zgodovina sprememb…

  • spremenil: fiction ()

amacar ::

Potrjeno na bitstamp strani, da so izgubili cca 19k bitcoinov.

madog ::

Vsaj wallet je najden z vso vsoto ki je bila pobrana :Wallet explorer

sedaj pa ssamo še nazaj dobit :D :D
Phenom II X4 955 BlackEdition|M4A87TD EVO|OCZ 2x2GB @1333MHz|Sapphire HD5770 OC

BigWhale ::

A lahko nekdo razlozi razliko med hot in cold storage?

Mar stvari ni mogoce tako narediti, da bi vse wallete skril in bi do njih dostopal samo preko nekega APIja in kot samih ne bi imel na web strezniku?

dronyx ::

Ali se take kraje lahko sploh kazensko preganja?

MaterVola ::

Vsako krajo se lahko kazensko preganja. Vprašanje je, če uspešno ;)

stegy ::

BigWhale je izjavil:

A lahko nekdo razlozi razliko med hot in cold storage?



Razlika med hot in cold je ta, da je hot povezana v internet, cold pa ne, tako, da bitcoini, ki so v cold iz interneta niso dostopni. Hot se uporablja za trgovanje in je v njej neka zaloga bitcoinov, ki to omogoča.

Enako lahko uporabljaš doma, če denarnico narediš na USB ključku in ključek deponiraš v predal - ni na voljo preko omrežja.

scipascapa ::

Kaj je to sploh? Kako deluje?

Položiš 100€, dobiš kovance za 100€ in kaj potem? Kako oni kaj zaslužijo?

100 daš 100 dobiš je zame 0.

BigWhale ::

stegy je izjavil:

Razlika med hot in cold je ta, da je hot povezana v internet, cold pa ne, tako, da bitcoini, ki so v cold iz interneta niso dostopni. Hot se uporablja za trgovanje in je v njej neka zaloga bitcoinov, ki to omogoča.


Ja, to razumem. Sprasujem se, ce ni mozno narediti denarnice, ki bi bila v internet povezana samo preko nekega APIja. Spredaj bi imel nek daemon, ki bi na ven zgledal kot bitcoin client in bi se tudi tako obnasal, takoj po opravljeni transakciji bi pa denar spravil v neko drugo denarnico.

Se pravi, ce ti nekdo vdre v streznik in pokrade vse denarnice, ima v njih samo toliko denarja kot je bilo tocno tisti trenutek not. Kar API se ni uspel spucat.

stegy ::

scipascapa je izjavil:

Kaj je to sploh? Kako deluje?

Položiš 100€, dobiš kovance za 100€ in kaj potem? Kako oni kaj zaslužijo?

100 daš 100 dobiš je zame 0.


Oni so borza - kupiš lahko po taki ceni, kot nekdo drug prodaja. BitStamp pa ima provizijo pri transakcijo 0,5% (za večje nakupe manj). Tako, da če kupiš za 100€ si v bistvu kupil za 99,5€

dronyx ::

MaterVola je izjavil:

Vsako krajo se lahko kazensko preganja. Vprašanje je, če uspešno ;)

Tu gr epo moje tudi za pravno vprašanje, kakšen status ima bitcoin. Če rečem karikirano...če tebi ukradejo iz računalnika neke filme, ki si jih potegnil dol iz interneta prek torrentov boš težko pričakoval od policije, da bo tako "krajo" preganjala.

Na wiki piše za Slovenijo tole:

"On December 23, 2013 the Slovenian Ministry of Finance made an announcement [64] stating that bitcoin is not a currency nor an asset. "

Če ti jaz ukradem bitocine sem ti ukradel točno kaj? Denar ne, lastnino ne...

Zgodovina sprememb…

  • spremenil: dronyx ()

fiction ::

BigWhale je izjavil:

Ja, to razumem. Sprasujem se, ce ni mozno narediti denarnice, ki bi bila v internet povezana samo preko nekega APIja. Spredaj bi imel nek daemon, ki bi na ven zgledal kot bitcoin client in bi se tudi tako obnasal, takoj po opravljeni transakciji bi pa denar spravil v neko drugo denarnico.

Se pravi, ce ti nekdo vdre v streznik in pokrade vse denarnice, ima v njih samo toliko denarja kot je bilo tocno tisti trenutek not. Kar API se ni uspel spucat.
Ponavadi je zadaj bitcoind do katerega se dostopa preko API-ja in tam imaš enega ali več walletov. Problem je v tem, da se ves čas dogajajo bitcoin dvigi in tega verjetno nočeš delati na roko. Zato je trade-off to, da imaš nek operativen buffer bitcoinov (hot wallet), ki se avtomatizirano premikajo potem pa magari enkrat na dan ali pa kakorkoli že ročno naložiš iz offline storaga nove coine, ki jih imaš drugače na varnem. Oz. mogoče se zaradi transaction feeja tega že samo nabere dovolj in v bistvu samo na vsake toliko časa pobereš kaj s hot walleta.

Se mi pa zdi 19k vseeno malo preveč za daily operation (tako da je očitno "backup interval" malo daljši). Moraš razumeti, da je to borza in je bitcoine, ki jih ti dobiš, nekdo prej nakazal gor (da bi dobil denar). Torej ni tako, da bilo granularno per user in se magično bitcoini spreminjajo v dolarje in obratno.

scipascapa ::

podobno kot bankart pri transakcijah, 1%...pa na milione prometa dnevno pa ni potem čudno, da so vsi milionarji.

fiction ::

scipascapa je izjavil:

podobno kot bankart pri transakcijah, 1%...pa na milione prometa dnevno pa ni potem čudno, da so vsi milionarji.
No ja ni čisto isto, Bankart procesira transakcije, skrbi za bankomate itd. Bitstamp je pa borza in njena storitev (ki jo plačaš preko provizije) je, da poveže tiste ki hočejo kupit bitcoine s tistimi ki jih hočejo prodat (nič več in nič manj). Lahko jasno midva tudi direktno narediva menjavo, ampak na ta način ne boš mogel priti do več kot npr. par bitcoinov. (Likvidnost je nizka.)

KuntaKinte ::

vem,da je ena od lastnosti te valute,da je anonimna,samo zakaj nima vsak bitcoin neke kode,preko katere bi bil izključno v primerih kraje izsledljiv,izbrisan in povrnjen lastniku,če krajo dokaže

Looooooka ::

BigWhale je izjavil:

stegy je izjavil:

Razlika med hot in cold je ta, da je hot povezana v internet, cold pa ne, tako, da bitcoini, ki so v cold iz interneta niso dostopni. Hot se uporablja za trgovanje in je v njej neka zaloga bitcoinov, ki to omogoča.


Ja, to razumem. Sprasujem se, ce ni mozno narediti denarnice, ki bi bila v internet povezana samo preko nekega APIja. Spredaj bi imel nek daemon, ki bi na ven zgledal kot bitcoin client in bi se tudi tako obnasal, takoj po opravljeni transakciji bi pa denar spravil v neko drugo denarnico.

Se pravi, ce ti nekdo vdre v streznik in pokrade vse denarnice, ima v njih samo toliko denarja kot je bilo tocno tisti trenutek not. Kar API se ni uspel spucat.

Zafirewallat vse od tiste masine sam tist port prek kerga se komunicira.
Ampak a ne...ce so ti ze tja vdrli potem se da sklepat, da so dovolj pametni, da bodo tudi api klice zlorabili... :)

BigWhale ::

fiction je izjavil:

Ponavadi je zadaj bitcoind do katerega se dostopa preko API-ja in tam imaš enega ali več walletov. Problem je v tem, da se ves čas dogajajo bitcoin dvigi in tega verjetno nočeš delati na roko. Zato je trade-off to, da imaš nek operativen buffer bitcoinov (hot wallet), ki se avtomatizirano premikajo potem pa magari enkrat na dan ali pa kakorkoli že ročno naložiš iz offline storaga nove coine, ki jih imaš drugače na varnem. Oz. mogoče se zaradi transaction feeja tega že samo nabere dovolj in v bistvu samo na vsake toliko časa pobereš kaj s hot walleta.


Ja, to razumem. Ampak, zakaj ne mores, k pride buy request, tega dnarja pobrat iz enga offline walleta, ga prestavit v online wallet, opravit request in to je to.

Tko da imas v online walletu v nekem trenutko izkljucno bitcoine, ki se uporabljajo za trenutne transakcije.

Torej, po domace: zakaj moras imet rezervo?

Sergio ::

@BigWhale: Ker je vsak povezan sistem inherentno ranljiv.
Tako grem jaz, tako gre vsak, kdor čuti cilj v daljavi:
če usoda ustavi mu korak,
on se ji zoperstavi.

BigWhale ::

Looooooka je izjavil:

Zafirewallat vse od tiste masine sam tist port prek kerga se komunicira.
Ampak a ne...ce so ti ze tja vdrli potem se da sklepat, da so dovolj pametni, da bodo tudi api klice zlorabili... :)


Samo pogojno. Nek API zlorabit je lahko precej tezje kot vdret v samo masino. Ce je stvar prav narejena, je pa lahko close to impossible.

stara mama ::

KuntaKinte je izjavil:

vem,da je ena od lastnosti te valute,da je anonimna,samo zakaj nima vsak bitcoin neke kode,preko katere bi bil izključno v primerih kraje izsledljiv,izbrisan in povrnjen lastniku,če krajo dokaže

Lih to je fora bitcoina.
Ker če že samo obstaja možnost, bi prej al slej bla zlorabljena.

fiction ::

BigWhale je izjavil:

Ja, to razumem. Ampak, zakaj ne mores, k pride buy request, tega dnarja pobrat iz enga offline walleta, ga prestavit v online wallet, opravit request in to je to.
Ker če to lahko narediš avtomatsko, tudi tisto drugo ni več offline wallet. Če stvari počne človek in ne več software, je vse skupaj še vedno problematično. Temu človeku je treba zaupati (da ne govorimo o tem, da je potem to tudi dražje in počasnejše).

Denarnica je bodisi pod tvojo popolno kontrolo ali pa ni. Zato ne nosiš s seboj vedno vsega denarja.

Roadkill ::

Bitcoin ne omogoča anonimnosti. Ravno nasprotno - omogoča skoraj popolno transparenco.

Tako se točno ve kam so šli BTC. Samo identitete novega lastnika se zaenkrat ne ve.
Ü

fiction ::

KuntaKinte je izjavil:

vem,da je ena od lastnosti te valute,da je anonimna,samo zakaj nima vsak bitcoin neke kode,preko katere bi bil izključno v primerih kraje izsledljiv,izbrisan in povrnjen lastniku,če krajo dokaže
Tej kodi se reče zasebni ključ ;) Tukaj so napadalci poznali "kodo" in zadeve na ta način prenakazali na drug "račun".

Fora bitcoina je v tem, da so transakcije dokončne. Ne obstaja nobena entiteta (tudi "lastnik" ne), ki bi lahko potem, ko se nekaj izvrši, tisto undoala. Vedno pa lahko druga stran BTC-je nakaže nazaj (ampak samo če ona tako hoče). Če bi se to kar praviš dalo, bi to odprlo možnosti za ogromno zlorab: nekdo bi si npr. nekaj kupil, ko bi blago prejel, bi pa enostavno izničil transakcijo in ponovno porabil iste bitcoine. Tudi če rečeš, da bo to delala neka zunanja inštitucija, kako jo boš pa zbral in preprečil zlorabe. Poleg tega si s tem uvedel neko centralizacijo, česar pa tudi nočeš.

poweroff ::

BigWhale je izjavil:

Ja, to razumem. Ampak, zakaj ne mores, k pride buy request, tega dnarja pobrat iz enga offline walleta, ga prestavit v online wallet, opravit request in to je to.

Kaj pa če pride fake request?

BigWhale je izjavil:

Nek API zlorabit je lahko precej tezje kot vdret v samo masino. Ce je stvar prav narejena, je pa lahko close to impossible.

Ja, ČE je prav narejena. Ravno ta del je close to impossible.
sudo poweroff

AndY1 ::

dronyx je izjavil:

Na wiki piše za Slovenijo tole:

"On December 23, 2013 the Slovenian Ministry of Finance made an announcement [64] stating that bitcoin is not a currency nor an asset. "

Če ti jaz ukradem bitocine sem ti ukradel točno kaj? Denar ne, lastnino ne...


Ampak, Bitstamp, kot podjetje, je registriran v UK, ne v Sloveniji.

Spiky28 ::

Mislim kakšne debate...sem že preveril, če nisem na 24kur. Folk sprašuje kaj je fora bitcoina in zakaj ne uporabljajo apija.
1. Za krajo bitcoinov ne rabiš nikamor vdret...poznat (uganit) moraš samo privatni ključ
2. Cold storage je usb/disk ki ga maš v predalu nočne omarce (in ni dostopen iz omrežja)
3. Da preneseš te podatke moraš to naredit ročno...če to dela računalnik avtomatsko to ni več cold storage
in API je posredno povezan na internet

dronyx ::

AndY1 je izjavil:

Ampak, Bitstamp, kot podjetje, je registriran v UK, ne v Sloveniji.

Hvala bogu, samo to lahko rečem. Sicer bi morali davkoplačevalci reševati še njih...

Zgodovina sprememb…

matijadmin ::

fiction je izjavil:

Uf, skoraj 19k BTC ali okrog 5 miljonov je šlo. Tudi če je nekdo za to kupil 0-day exploite je dobro zaslužil. Ne dvomim v to, da ima Bitstamp dovolj akumulirane rezerve, da to lahko povrne, vprašanje pa je če to sploh hoče. Obstajajo že stave na to temo https://www.predictious.com/economics/b...

matijadmin je izjavil:

Dejavu, ja. Član ST foruma je pred časom že odkril tragikomično ranljivost, ki je omogočala dostop do trgovalnih računov drugih uporabnikov. Pošteno je opozoril na tveganje, v zameno pa niti zahvale.
Lahko prosim malo več o tem. Predvidevam, da je bilo to že odpravljeno (kljub temu, da reporter ni dobil zasluženega credita)...


Dalo se je prosto sprehajati po trgovalnih računih. Že zdavnaj (pred več leti) odpravljena ranljivost, da. Kar se je zdaj zgodilo, pa je slaba karma ...

BigWhale je izjavil:

Looooooka je izjavil:

Zafirewallat vse od tiste masine sam tist port prek kerga se komunicira.
Ampak a ne...ce so ti ze tja vdrli potem se da sklepat, da so dovolj pametni, da bodo tudi api klice zlorabili... :)


Samo pogojno. Nek API zlorabit je lahko precej tezje kot vdret v samo masino. Ce je stvar prav narejena, je pa lahko close to impossible.


Tudi to se da z nekaj truda, angažirane skupine ali posamezniki so večkrat to tudi dokazali v praksi. Podobno - zaradi inherenčne ranljivosti - tudi glavne korenske certifikate izdajatelji in overitelji hranijo "na hladnem" (z njimi pa štancajo časovno omejene za dnevno ali tedensko izdajanje).

Zgodovina sprememb…

BigWhale ::

poweroff je izjavil:

BigWhale je izjavil:

Ja, to razumem. Ampak, zakaj ne mores, k pride buy request, tega dnarja pobrat iz enga offline walleta, ga prestavit v online wallet, opravit request in to je to.

Kaj pa če pride fake request?


Potem ga mors vsaj priblizno znat detektirat. Ali pa zaznat, da se dogaja nekaj cudnega na web strezniku.

poweroff je izjavil:

BigWhale je izjavil:

Nek API zlorabit je lahko precej tezje kot vdret v samo masino. Ce je stvar prav narejena, je pa lahko close to impossible.

Ja, ČE je prav narejena. Ravno ta del je close to impossible.


Ce ne more biti narejena tako, potem se pac ne gres nekega 'bancnistva'. Znat mors narest en API tko, da bo nekdo, ki ti vdre v spletni streznik, rabil vec casa, da ga zgrunta, kot ti, da bos ta vdor detektiral in prej vse skupaj zaprl. Tud ce tega ne znas, pol se pac ne gres bancnistva. In k imas enkrat nek API narjen, pol je ze en nepravilen request dost, da ti przge en tak ogromen napis "DANGER WILL ROBINSON, DANGER".

V tem primeru pa zgleda, da je nekdo vdrl na streznik, se mal sprehodil po strezniku, najdu wallet in vse kljuce zanj, si jih skupiral, pol je se popravil en typo v index.php, k so ga developerji pustil not, in sel domov.

Spiky28 je izjavil:

Mislim kakšne debate...sem že preveril, če nisem na 24kur. Folk sprašuje kaj je fora bitcoina in zakaj ne uporabljajo apija.


Folk, k ze mal dalj casa dela z raznoraznimi APIji in se ukvarja z locevanjem podatkov od interneta se preden je bitcoin obstajal, se sprasuje zakaj imajo wallet kar na web serverju, kjer ga lahko vsak, ki ima pet minut casa, ukrade.

Glugy ::

jz idejo o mednarodni kriptovaluti podpiram..sam dokler bodo te poporodni krči prihajal na plano ne bom tvegal. Škoda no mislm..res všečna super ideja sam...varnost me pa še vedno preveč skrbi. Ena kripto-borza je že propadla...zdej bomo vidl kaj bo iz slovenske...nevem no. bo potrebno neki več naredit na varnosti al kaj jz vem.

Spiky28 ::

@BigWhale; Sori, sem prehitro pisal. api bi v vsakem primeru morali uporabljat (če ga niso je to totalni fail). Ampak če bi jaz to postavljal bi api uporabil za hot storage, večino bitcoinov bi pa še zmeraj hranil offline. (ziher je ziher...sploh pri takih dnarjih). Hotel sem samo povedat da api ni bulletproof, seveda pa pripomore k varnosti.

Urajmal ::

BigWhale, kdo bi pa 10.000 x na dan prestavil usb ključek v rač. in ven, za vsak buy/sell request :D cold storage je ravno smiseln v tem, da je vmes človeški faktor :)

fiction ::

Spiky28 je izjavil:

Mislim kakšne debate...sem že preveril, če nisem na 24kur.
Za doseganje tistega nivoja potrebujemo samo še "sem vam rekel, vse skupaj je Ponzijeva shema" in "<insert random name> je ukradel precej več kot 5 miljonov!!!" :P Se mi zdi pa zanimivo, da so se zdaj na omenjeni strani pojavile špekulacije o weak random number generatorju...

Ne razumem, kakšno povezavo ima pri vsem skupaj API? Meni so to sliši bolj kot security-through-obscurity? V bistvu je čisto vseeno ali dobiš dostop do mašine s samim walletom, do private keya ali pa do procesa, ki lahko dela poljubne stvari z walletom. Mislim ok ne bi rekel, če bi imel res nek omejen nabor tega, kaj lahko invokaš, ampak ne pozabit, da v bistvu klicatelj pove, "nakaži toliko na ta naslov". API že obstaja in to duplicirat pomeni samo komplikacijo in potencialno nove ranljivosti. Seveda bi pa lahko imeli neke varovalke v stilu če gre ven več kot toliko na en naslov. Ampak za to ni nujno treba proxyat klicev. V bistvu hevristika nad blockchainom pomaga tudi, če nekdo ukrade key in transakcije naredi od "drugod".

Sej tudi Bitstamp je imel večino offline. Ampak še vedno je bilo 12 % online (in posledično ukradeno), kar je ogromno. Damage je zdaj tam okrog enega leta prihodkov. Pomoje je najbolj pomembno, da se najprej ugotovi, kako je vse skupaj potekalo. Da ne bo zdaj kdo šel s kompromitiranega računalnika do cold storaga in bo še tisto izpuhtelo.

Zgodovina sprememb…

  • spremenil: fiction ()

BigWhale ::

fiction je izjavil:

Ne razumem, kakšno povezavo ima pri vsem skupaj API? Meni so to sliši bolj kot security-through-obscurity? V bistvu je čisto vseeno ali dobiš dostop do mašine s samim walletom, do private keya ali pa do procesa, ki lahko dela poljubne stvari z walletom. Mislim ok ne bi rekel, če bi imel res nek omejen nabor tega, kaj lahko invokaš, ampak ne pozabit, da v bistvu klicatelj pove, "nakaži toliko na ta naslov". API že obstaja in to duplicirat pomeni samo komplikacijo in potencialno nove ranljivosti. Seveda bi pa lahko imeli neke varovalke v stilu če gre ven več kot toliko na en naslov. Ampak za to ni nujno treba proxyat klicev. V bistvu hevristika nad blockchainom pomaga tudi, če nekdo ukrade key in transakcije naredi od "drugod".


Security through obscurity je en precej over-hyped izraz, ki ga uporabljajo kar tko mal randomly.

Obscurity je tudi to, da SSH prestavis iz porta 22 na port 43542. Se pa s tem izognes mnozici poizkusov ugibanja root gesla in gesel za druga bolj pogosta uporabniska imena. Pa ce ne zarad drugega, pa zaradi tega, ker ti delajo nepotreben promet na strezniku.

V tem pogledu je obscurity tudi locevanje bitcoin walleta in web streznika. Ampak, nekdo, ki bo vdrl v web streznik, bo moral potem se skozi en layer varnosti, kar mu bo vzelo nekaj vec casa, kot

scp /wallets/* /keys-for-the-wallets/* my-secret-it: ; rm -f ~/.bash_history ; killall -9 bash

WhiteAngel ::

BigWhale je izjavil:


Security through obscurity je en precej over-hyped izraz, ki ga uporabljajo kar tko mal randomly.

Obscurity je tudi to, da SSH prestavis iz porta 22 na port 43542. Se pa s tem izognes mnozici poizkusov ugibanja root gesla in gesel za druga bolj pogosta uporabniska imena. Pa ce ne zarad drugega, pa zaradi tega, ker ti delajo nepotreben promet na strezniku.

V tem pogledu je obscurity tudi locevanje bitcoin walleta in web streznika. Ampak, nekdo, ki bo vdrl v web streznik, bo moral potem se skozi en layer varnosti, kar mu bo vzelo nekaj vec casa, kot

scp /wallets/* /keys-for-the-wallets/* my-secret-it: ; rm -f ~/.bash_history ; killall -9 bash


Mislim, da je bilo vse narejeno, kot je treba - Grčar & kompanija zagotovo ne bi tlačili walleta in web serverja skupaj. Imeli so tudi dovolj znanja, časa in kilometrine, da so stvari naredili, kolikor se jih da bullet proof. Sumim, da je imel prste vmes nekdo od znotraj. Ne nujno Nejko, ampak kakšen od zaposlenih. Njihov kiks je bil edino to, da niso dobili enega SMS-a, ko so se večje transakcije iz njihovega walleta ven začele dogajati.

Aja, tudi banke niso nobene cvetke. In to tiste s praktično neomejenimi resursi. Vendar banke običajno zahtevajo fizično prisotnost in osebne dokumente, drugače ti sploh ne naredijo transakcije, kaj šele milijonske. Pa tudi če jo, jo lahko kasneje v dogovoru z drugo banko, kamor nakazujejo, transakcijo prekličejo. Tako da Bitcoin je totalno druga dimenzija. Mogoče multi-sig wallet... ampak v praksi še vedno rabiš en hot wallet, če želiš furati posloven proces avtomatizirano.

matijadmin ::

BigWhale je izjavil:

poweroff je izjavil:

BigWhale je izjavil:

Ja, to razumem. Ampak, zakaj ne mores, k pride buy request, tega dnarja pobrat iz enga offline walleta, ga prestavit v online wallet, opravit request in to je to.

Kaj pa če pride fake request?


Potem ga mors vsaj priblizno znat detektirat. Ali pa zaznat, da se dogaja nekaj cudnega na web strezniku.

poweroff je izjavil:

BigWhale je izjavil:

Nek API zlorabit je lahko precej tezje kot vdret v samo masino. Ce je stvar prav narejena, je pa lahko close to impossible.

Ja, ČE je prav narejena. Ravno ta del je close to impossible.


Ce ne more biti narejena tako, potem se pac ne gres nekega 'bancnistva'. Znat mors narest en API tko, da bo nekdo, ki ti vdre v spletni streznik, rabil vec casa, da ga zgrunta, kot ti, da bos ta vdor detektiral in prej vse skupaj zaprl. Tud ce tega ne znas, pol se pac ne gres bancnistva. In k imas enkrat nek API narjen, pol je ze en nepravilen request dost, da ti przge en tak ogromen napis "DANGER WILL ROBINSON, DANGER".

V tem primeru pa zgleda, da je nekdo vdrl na streznik, se mal sprehodil po strezniku, najdu wallet in vse kljuce zanj, si jih skupiral, pol je se popravil en typo v index.php, k so ga developerji pustil not, in sel domov.

Spiky28 je izjavil:

Mislim kakšne debate...sem že preveril, če nisem na 24kur. Folk sprašuje kaj je fora bitcoina in zakaj ne uporabljajo apija.


Folk, k ze mal dalj casa dela z raznoraznimi APIji in se ukvarja z locevanjem podatkov od interneta se preden je bitcoin obstajal, se sprasuje zakaj imajo wallet kar na web serverju, kjer ga lahko vsak, ki ima pet minut casa, ukrade.


Nam hočeš povedati, da bi bilo edino pravilno, da se spletno bančništvo in spletne trgovine prepovejo? Tudi na cestah veliko ljudi umre, pa ne prepovemo prometa. Uveljavljamo različne politike in uvajamo ukrepe, ki skušajo to preprečevati, a vodotesnega načina, kako se znebiti vsega zla ni; ne univerzalnega ne v tem primeru (pisanja API-ja).

Leet1337 ::

Valuta, ki je obsojena na propad... Bitcoin en velik nateg za naivneže... eni se bogatijo na račun naivnežev...

black ice ::

Ne kvasi bedarij.

BigWhale ::

WhiteAngel je izjavil:

Mislim, da je bilo vse narejeno, kot je treba - Grčar & kompanija zagotovo ne bi tlačili walleta in web serverja skupaj. Imeli so tudi dovolj znanja, časa in kilometrine, da so stvari naredili, kolikor se jih da bullet proof. Sumim, da je imel prste vmes nekdo od znotraj. Ne nujno Nejko, ampak kakšen od zaposlenih.


Karkoli je ze bilo, zgleda zlo salabajzersko. Me zanima, ce bodo kaksno analizo dogodka opravili in pojasnili kaj se je zgodilo. Spodobilo bi se.

WhiteAngel je izjavil:

Aja, tudi banke niso nobene cvetke. In to tiste s praktično neomejenimi resursi. Vendar banke običajno zahtevajo fizično prisotnost in osebne dokumente, drugače ti sploh ne naredijo transakcije, kaj šele milijonske. Pa tudi če jo, jo lahko kasneje v dogovoru z drugo banko, kamor nakazujejo, transakcijo prekličejo. Tako da Bitcoin je totalno druga dimenzija. Mogoče multi-sig wallet... ampak v praksi še vedno rabiš en hot wallet, če želiš furati posloven proces avtomatizirano.


Saj nikjer ne pravim, da banke pa to pocnejo tako kot treba. Dalec od tega.

Ampak banka zna delati z mojim digitalnim certifikatom, ki ga je izdal vsaj priblizno preverjen CA.

Jaz bi pri enem takem projektu razmisljal v tej smeri. Ali pa nacin izvedbe walleta pri kateri lahko nardis transakcijo iz njega samo v wallet, ki je kreiran na tvojem strezniku.

Nekak tako, da ima vsak uporabnik svoj temporary wallet na tvojem strezniku, tvoj wallet je na nekem drugem strezniku, do katerega dostopas prek preverjenega APIja in ko nekdo nardi deposit, se stvar zabelezi v temporary wallet, potem se pa prenese v 'master wallet'. V obratni smeri pa nekdo najprej napove dvig in ta dvig gre vedno v temporary wallet na strezniku in iz tega walleta pa tja kamor pac gre. Transakcija iz 'master walleta' pa gre preko apija samo v vnaprej znane druge wallete.

Do temporary walleta pa lahko dostopas samo z ustreznim digitalnim certifikatom.

Ni bullet proof, je pa dost bolj varno in slednjivo v primeru zlorabe. Na tak nacin je precej tezje ukrast bitcoine direktno.

PS: Ne vem kako tocno bitcoin dela, tko da ne vem, ce je taksna zadeva sploh mozna s trenutno infrastrukturo. :)

Zgodovina sprememb…

  • spremenil: BigWhale ()

hamez66 ::

Meni se zdi, da je ta hacker naredil napako, ker je vse bitcoine poslal na 1 naslov, zato bo tem bitcoinom razmeroma lahko slediti. Zato mi zdi, da ga bodo hitro našli. Če se pa misli potuhniti za par let, je pa možno, da bodo do takrat ti coini izgubili večino trenutne vrednosti.

poweroff ::

Matijaadmin, lahko kaj več razkriješ o tisti varnostni ranljivosti, ki si jo omenjal?

Glede pojasnil BitStampa... vsekakor bi se spodobilo, da podrobno pojasnijo kaj se je zgodilo. Ampak treba je razumeti, da morda rabijo čas. Zdajle se najbrž vsi ukvarjajo z drugimi problemi, kot s podrobnim pisanjem spoorčil za javnost. Poleg tega je verjetno treba vsaj par dni resne preiskave, da se kaj bolj konkretnega ugotovi.

Ne vem no, vsi bi radi vse intantno... ;) Ne zagovarjam jih, samo na glas razmišljam.
sudo poweroff

oracle ::

Zanimivo bi bilo kakšno STROKOVNO pravno mnenje glede statusa bitcoina. Da ni denar niti lastnina je po mojih informacijah zgolj kar se tiče dohodnine oziroma davkov. Po moji logiki je policija vseeno dolžna obravnavati tak dogodek. Nisem pa siguren, zato ne bom trdil. Morda kdo zares ve?

Nummy ::

Roadkill je izjavil:

Bitcoin ne omogoča anonimnosti. Ravno nasprotno - omogoča skoraj popolno transparenco.

Tako se točno ve kam so šli BTC. Samo identitete novega lastnika se zaenkrat ne ve.

Če ne poznaš identitete lastnika je še vedno anonimno... brez imena.

drola ::

oracle je izjavil:

Zanimivo bi bilo kakšno STROKOVNO pravno mnenje glede statusa bitcoina. Da ni denar niti lastnina je po mojih informacijah zgolj kar se tiče dohodnine oziroma davkov. Po moji logiki je policija vseeno dolžna obravnavati tak dogodek. Nisem pa siguren, zato ne bom trdil. Morda kdo zares ve?


Če že nič drugega, gre za kazniva dejanja po 221. in 237. členu KZ. https://www.cert.si/si/zakonodaja/kazen....
https://drola.si

Zgodovina sprememb…

  • spremenil: drola ()

stb ::

drola je izjavil:

Če že nič drugega, gre za kazniva dejanja po 221. in 237. členu KZ. https://www.cert.si/si/zakonodaja/kazen....

Ni nujno, da gre za kakršenkoli vdor v klasičnem pomenu besede. Teoretično lahko z brute force generiraš vse možne ključe walletov (v praksi pa tega ne boš dočakal), jih povežeš v javno omrežje in v njih se bodo znašli bitcoini z originalnih denarnic.

Po prepričanju piratov to sploh še ni kraja, ker so bitcoini ostali v originalni denarnici. "Sharig is caring" in "Information wants to be free" ali kako že... :D

V drugi fazi pa iz podvojenih denarnic nakažeš na neko svojo denarnico (za katero imaš samo ti ključ) in pri tem bitcoini izginejo iz obeh (podvojenih) denarnic in gredo v novo.

Ampak pri tem postopku napadalcu ne bi bilo potrebno uporabiti veliko majhnih transakcij, ampak bi lahko naredil eno ogromno in tako hitro prenesel vse bitcoine v svojo denarnico preden bi zaznali kakršnokoli anomalijo.

Množica majhnih transakcij pa nakazuje na to (ugibam), da je s pomočjo vdora malenkost predelal sistem za izplačila in vsa izplačila preusmeril v svojo denarnico, ne glede na to kaj je uporabnik želel (in vnesel prek uporabniškega vmesnika). Zato je šlo vse v isto denarnico.

SasoS ::

BigWhale je izjavil:

V obratni smeri pa nekdo najprej napove dvig in ta dvig gre vedno v temporary wallet na strezniku in iz tega walleta pa tja kamor pac gre. Transakcija iz 'master walleta' pa gre preko apija samo v vnaprej znane druge wallete.


Luknja podčrtana. Če avtomatično filaš hot wallet iz cold walletov, potem tisto ni cold wallet. Nič ti ne pomaga če tvoj API pusti samo prenos iz cold walleta v temp wallet, ta wallet pa potem hekerji praznejo. To naj bi se zgodilo Goxu po enih teorijah...odprli so svoj "master" wallet in je bil prazen :)
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Bitstamp zaradi suma vdora zaustavil trgovanje (strani: 1 2 3 )

Oddelek: Novice / Kriptovalute
10059652 (50983) hamez66
»

Bitcoin - Bitstamp - osnovna vprašanja (strani: 1 2 )

Oddelek: Loža
5124718 (21729) mat xxl
»

Bitcoin: Mt.Gox nepojasnjeno ugasnil, špekulacije o več stomilijonski prevari (strani: 1 2 )

Oddelek: Novice / Kriptovalute
8426582 (20087) RuskiSnajper
»

Borze ponovno omogočile izplačila bitcoinov, implozija na Mt.Goxu

Oddelek: Novice / Kriptovalute
2210601 (7497) Loocas
»

Milijonske kraje bitcoinov

Oddelek: Novice / Kriptovalute
4522799 (19406) micka15

Več podobnih tem