گزارش امنیتی Bitfinex پس از هک کردن کلیدهای «Giancarlo» ضعیف است

گزارش شده است که پروژه گزارش جرایم سازمان یافته و فساد (OCCRP) گزارش شده است به دست آمده گزارش امنیتی ایجاد شده توسط Ledger Labs که توسط Bitfinex پس از هک آن در سال 2016 سفارش داده شد. در این گزارش موارد متعددی از شکست در پیروی از بهترین شیوه صنعت، عدم اجرای گزارش کافی و عدم اجرای لیست سفید توضیح داده شده است.

پیشینه هک Bitfinex

در 2 آگوست 2016، Bitfinex در آن زمان دومین هک بزرگ بیت کوین ثبت شده تا کنون هک شد. در واقع، 12000 سکه – که در آن زمان حدود 70 میلیون دلار ارزش داشت اما امروز بیش از 3 میلیارد دلار ارزش دارد – از این پلتفرم خارج شد و آن را مجبور به غیرفعال کردن تمام سپرده ها، معاملات و برداشت ها کرد.

در پی این حمله، Bitfinex اعلام کرد که “ما به این نتیجه رسیده‌ایم که ضررها باید در تمام حساب‌ها و دارایی‌ها تعمیم داده شود.” این شرکت همچنین ادعا کرد که هر حساب 36.067٪ کوتاهی مو دریافت می کند و به ازای هر دلاری که نشان می دهد، کاربران یک توکن BFX به ارزش 1 دلار دریافت می کنند که Bitfinex سعی خواهد کرد آن را بازپرداخت کند.

ناتانیل پوپر بعداً گزارش که کوتاهی مو به طور یکسان برای همه حساب‌ها و دارایی‌ها اعمال نشد و اصرار داشت که Coinbase همان مدل مو را دریافت نکرده است..

بیشتر بخوانید: مکس کایزر «Bitcoin Willy Wonka» اکنون برای دولت السالوادور کار می کند

مدیر سابق Bitfinex، Zane Tackett ادعا کرد که Coinbase یک مدل مو دریافت کرده است، اما فاش کرد که کوچکتر از سایر مشتریان است، که ادعای Bitfinex قبلی را کاهش می دهد که “زیان باید در تمام حساب ها و دارایی ها تعمیم یابد.”

چند روز بعد در 17 آگوست، Bitfinex این کار را انجام داد اعلام این شرکت Ledger Labs را حفظ کرده است تا “تعیین کند دقیقاً چگونه نقض امنیتی رخ داده است و طراحی سیستم ما را بهتر کند.”

چند ماه بعد، Bitfinex اعلام کرد که “Ledger Labs برای انجام ممیزی مالی Bitfinex درگیر نشده است.” سرانجام، در ماه می 2017، Bitfinex اعلام کرد که Friedman LLP را برای انجام ممیزی استخدام کرده است. هیچ به روز رسانی در مورد وضعیت آن ممیزی ارائه نشده است اما فریدمن قادر به انجام ممیزی برای شرکت خواهر Tether نبود.

پس از هک، Bitfinex وعده داده است برای ارائه جزئیات در مورد چگونگی وقوع آن اما این هرگز اتفاق نیفتاد. همچنین تکرار کرد که همه یکسان مدل موی خود را دریافت کرده‌اند و مراحلی را که باید توسط کاربران تأیید نشده‌ای که سیستم «به اشتباه» معتقد بود مستقر در ایالات متحده هستند، باید انجام دهند، توضیح داد.

گزارش

در حالی که Bitfinex هرگز گزارش امنیتی را که توسط Ledger Labs سفارش داده شده بود منتشر نکرد، گزارش OCCRP بینش بیشتری را در مورد نحوه وقوع هک ارائه می دهد.

این گزارش توضیح می‌دهد که چگونه سیستم Bitfinex، که پیاده‌سازی کیف پول چند امضایی BitGo بود، به دو کلید از سه کلید برای برداشتن نیاز داشت. این گزارش ادعا می‌کند که Bitfinex به‌طور غیرمسئولانه هر دو کلید را در یک دستگاه داشته است با به خطر انداختن آن دستگاه، هکرها توانستند فوراً محدودیت‌های برداشت بیت‌گو را دور بزنند و کیف پول را خالی کنند..

ظاهراً این کلیدها به دو ایمیل جداگانه مرتبط بودند، یکی با برچسب “giancarlo” که توسط مدیر ارشد مالی Bitfinex، Giancarlo Devasini استفاده می‌شد، و دیگری آدرس ایمیل “admin”.

این گزارش همچنین نقص هایی از جمله فقدان لیست سفید برای برداشت و عدم ثبت سرور را توضیح می دهد. این گزارش همچنین بر اساس تجزیه و تحلیل آدرس‌های IP نشان می‌دهد که این هک در لهستان رخ داده است.

هلندی و رازلخان

هکر Bitfinex هرگز دستگیر نشد، اما زودتر دستگیر شد سال گذشته هدر مورگان و ایلیا لیختنشتاین به اتهام تلاش برای شستشوی بیت کوین‌های سرقت شده در این هک دستگیر شدند..