Las vulnerabilidades de retiro permitieron el robo de bitcoin de Flexcoin y Poloniex

Los piratas informáticos encontraron debilidades de seguridad que les permitieron sobregirar cuentas con Flexcoin y Poloniex, dos sitios web que facilitan las transacciones con bitcoins, y las explotaron para robar bitcoins de los dos servicios. Los ataques sacaron a Flexcoin del negocio y le costaron a los usuarios de Poloniex el 12.3 por ciento de sus bitcoins.

Flexcoin, que se describió a sí mismo como el "primer banco de bitcoins del mundo", anunció el lunes que cerraría después de que los piratas informáticos robaran 896 bitcoins por un valor de alrededor de US $ 600,000 de su "billetera caliente", una billetera bitcoin conectada a Internet. La compañía lanzó más detalles sobre el hack en una actualización publicada en su sitio web el martes por la noche..

El atacante primero creó una nueva cuenta de Flexcoin y depositó algunos bitcoins en ella, dijo Flexcoin en la actualización. Luego "explotó con éxito una falla en el código que permite las transferencias entre usuarios de flexcoin. Al enviar miles de solicitudes simultáneas, el atacante pudo 'mover' monedas de una cuenta de usuario a otra hasta que la cuenta de envío fuera sobregirada, antes de que se actualizaran los saldos "Esto se repitió a través de múltiples cuentas, aumentando la cantidad, hasta que el atacante retiró las monedas".

La compañía describió la vulnerabilidad como una falla en su front-end, pero no aclaró por qué su sistema no tenía en cuenta el sobregiro.

"La descripción de Flexcoin me recuerda las vulnerabilidades que solía ver en las aplicaciones de banca en línea hace 10 años", dijo Amichai Shulman, CTO de la firma de seguridad Imperva, por correo electrónico. "Una vulnerabilidad individual es excusable, no contar con monitoreo para detectarla a tiempo".

"Sin más detalles, es difícil decir exactamente qué tan compleja era la condición, pero el hecho de que requiriera múltiples cuentas activas y solicitudes hace que sea menos probable que hayan encontrado esta condición a través de pruebas básicas", dijo Tim Erlin, director de estrategia de riesgo de seguridad en la firma de seguridad Tripwire, por correo electrónico.

Sin embargo, si la vulnerabilidad fue compleja o básica no es tan importante como el impacto que tuvo, dijo Erlin. "La gravedad de la falla se evidencia por el impacto: Flexcoin está fuera del negocio".

Un intercambio de bitcoins llamado Poloniex también anunció el martes que un atacante robó el 12.3 por ciento de sus fondos utilizando una técnica que resultó en cuentas sobregiradas. Sin embargo, no está claro si el ataque está relacionado con el ataque contra Flexcoin.

"El hacker descubrió que si realiza varios retiros, prácticamente en el mismo instante, se procesarán más o menos al mismo tiempo", dijo en BitcoinTalk un usuario llamado busoni, que se identificó como el propietario del intercambio Poloniex. foro. "Esto dará como resultado un saldo negativo, pero inserciones válidas en la base de datos, que luego serán recogidas por el demonio de retiro. El principal problema aquí es que las funciones de auditoría y seguridad no buscaban explícitamente saldos negativos".

Poloniex fue más afortunado que Flexcoin porque detectó la actividad de retiro inusual y congeló las transacciones antes de que el atacante causara más daño. Los retiros del intercambio se han suspendido hasta que se solucione el problema..

El propietario de Poloniex no especificó cuántos bitcoins representa el 12.3 por ciento de los fondos, pero planea deducir de manera uniforme el monto perdido de todos los saldos de los usuarios y recuperarlo a tiempo de las tarifas de cambio, que se recaudarán para acelerar el proceso.

También dijo que cubrirá una parte de la deuda de su propio dinero, pero no la totalidad. "Si tuviera el dinero para cubrir toda la deuda en este momento, lo cubriría en un instante", dijo. "Simplemente no lo hago, y no puedo simplemente sacarlo de la nada".

Los incidentes de Flexcoin y Poloniex se producen después del monte. Gox dijo que los piratas informáticos robaron una gran cantidad de bitcoins del destacado intercambio de bitcoins, lo que llevó a la compañía a declararse en bancarrota la semana pasada.

Shulman está preocupado por el patrón de violaciones de seguridad en los últimos meses que resultaron en robos de intercambios de bitcoin y otros servicios..

"Vemos organizaciones 'financieras' relacionadas con el colapso de bitcoin como una torre de tarjetas", dijo. "No tener la capacidad de recuperarse (financieramente) de un ataque en línea no es algo que esperaríamos en un mercado financiero maduro. Creo que lo que los usuarios de bitcoin están aprendiendo ahora, de la manera difícil, es que hay algunos beneficios para el existente ' "Infraestructura financiera centralizada y regulada (como supervisión y seguros, por ejemplo)".

Erlin cree que la reciente erupción de robos de bitcoins es, de hecho, evidencia de que Bitcoin es un sistema monetario válido. Sin embargo, "solo seguirá siéndolo si el mercado puede madurar el nivel de protección a su alrededor", dijo..

"Dado que no hay supervisión para auditar las implementaciones de los procesos de Bitcoin, y ninguna organización que respalde la moneda, sospecho que veremos más incidentes como este y algunos de esos incidentes afectarán a individuos, así como a empresas como Flexcoin", dijo Dwayne Melancon, CTO de Tripwire, por correo electrónico.

Según el sitio wiki de Bitcoin, mantener una gran cantidad de bitcoins en una billetera caliente es "una práctica de seguridad fundamentalmente pobre". Es común que los intercambios de bitcoins mantengan algunos fondos en billeteras calientes para facilitar los retiros inmediatos, pero la mejor práctica es hacerlo solo con pequeñas cantidades.

"Flexcoin ha hecho todo lo posible para mantener nuestros servidores lo más seguros posible, incluidas las pruebas periódicas", dijo Flexcoin. "En nuestros ~ 3 años de existencia, hemos repelido con éxito miles de ataques. Pero al final, esto simplemente no fue suficiente".

"Que esta sea la desaparición de nuestra pequeña empresa, después de las interminables horas de trabajo que hemos puesto, nunca fue nuestra intención", dijo la compañía. "Le hemos fallado a nuestros clientes, nuestro negocio y, en última instancia, a la comunidad de Bitcoin".

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.