گزارش شده است که پروژه گزارش جرایم سازمان یافته و فساد (OCCRP) گزارش شده است به دست آمده گزارش امنیتی ایجاد شده توسط Ledger Labs که توسط Bitfinex پس از هک آن در سال 2016 سفارش داده شد. در این گزارش موارد متعددی از شکست در پیروی از بهترین شیوه صنعت، عدم اجرای گزارش کافی و عدم اجرای لیست سفید توضیح داده شده است.
پیشینه هک Bitfinex
در 2 آگوست 2016، Bitfinex در آن زمان دومین هک بزرگ بیت کوین ثبت شده تا کنون هک شد. در واقع، 12000 سکه – که در آن زمان حدود 70 میلیون دلار ارزش داشت اما امروز بیش از 3 میلیارد دلار ارزش دارد – از این پلتفرم خارج شد و آن را مجبور به غیرفعال کردن تمام سپرده ها، معاملات و برداشت ها کرد.
در پی این حمله، Bitfinex اعلام کرد که “ما به این نتیجه رسیدهایم که ضررها باید در تمام حسابها و داراییها تعمیم داده شود.” این شرکت همچنین ادعا کرد که هر حساب 36.067٪ کوتاهی مو دریافت می کند و به ازای هر دلاری که نشان می دهد، کاربران یک توکن BFX به ارزش 1 دلار دریافت می کنند که Bitfinex سعی خواهد کرد آن را بازپرداخت کند.
ناتانیل پوپر بعداً گزارش که کوتاهی مو به طور یکسان برای همه حسابها و داراییها اعمال نشد و اصرار داشت که Coinbase همان مدل مو را دریافت نکرده است..
بیشتر بخوانید: مکس کایزر «Bitcoin Willy Wonka» اکنون برای دولت السالوادور کار می کند
مدیر سابق Bitfinex، Zane Tackett ادعا کرد که Coinbase یک مدل مو دریافت کرده است، اما فاش کرد که کوچکتر از سایر مشتریان است، که ادعای Bitfinex قبلی را کاهش می دهد که “زیان باید در تمام حساب ها و دارایی ها تعمیم یابد.”
چند روز بعد در 17 آگوست، Bitfinex این کار را انجام داد اعلام این شرکت Ledger Labs را حفظ کرده است تا “تعیین کند دقیقاً چگونه نقض امنیتی رخ داده است و طراحی سیستم ما را بهتر کند.”
چند ماه بعد، Bitfinex اعلام کرد که “Ledger Labs برای انجام ممیزی مالی Bitfinex درگیر نشده است.” سرانجام، در ماه می 2017، Bitfinex اعلام کرد که Friedman LLP را برای انجام ممیزی استخدام کرده است. هیچ به روز رسانی در مورد وضعیت آن ممیزی ارائه نشده است اما فریدمن قادر به انجام ممیزی برای شرکت خواهر Tether نبود.
پس از هک، Bitfinex وعده داده است برای ارائه جزئیات در مورد چگونگی وقوع آن اما این هرگز اتفاق نیفتاد. همچنین تکرار کرد که همه یکسان مدل موی خود را دریافت کردهاند و مراحلی را که باید توسط کاربران تأیید نشدهای که سیستم «به اشتباه» معتقد بود مستقر در ایالات متحده هستند، باید انجام دهند، توضیح داد.
گزارش
در حالی که Bitfinex هرگز گزارش امنیتی را که توسط Ledger Labs سفارش داده شده بود منتشر نکرد، گزارش OCCRP بینش بیشتری را در مورد نحوه وقوع هک ارائه می دهد.
این گزارش توضیح میدهد که چگونه سیستم Bitfinex، که پیادهسازی کیف پول چند امضایی BitGo بود، به دو کلید از سه کلید برای برداشتن نیاز داشت. این گزارش ادعا میکند که Bitfinex بهطور غیرمسئولانه هر دو کلید را در یک دستگاه داشته است با به خطر انداختن آن دستگاه، هکرها توانستند فوراً محدودیتهای برداشت بیتگو را دور بزنند و کیف پول را خالی کنند..
ظاهراً این کلیدها به دو ایمیل جداگانه مرتبط بودند، یکی با برچسب “giancarlo” که توسط مدیر ارشد مالی Bitfinex، Giancarlo Devasini استفاده میشد، و دیگری آدرس ایمیل “admin”.
این گزارش همچنین نقص هایی از جمله فقدان لیست سفید برای برداشت و عدم ثبت سرور را توضیح می دهد. این گزارش همچنین بر اساس تجزیه و تحلیل آدرسهای IP نشان میدهد که این هک در لهستان رخ داده است.
هلندی و رازلخان
هکر Bitfinex هرگز دستگیر نشد، اما زودتر دستگیر شد سال گذشته هدر مورگان و ایلیا لیختنشتاین به اتهام تلاش برای شستشوی بیت کوینهای سرقت شده در این هک دستگیر شدند..
بیشتر بخوانید: رازلخان، رپر کریپتو، علیرغم مواجهه با ۲۵ سال زندان، شغل جدیدی پیدا می کند
هنگامی که آنها دستگیر شدند، مقامات توانستند اکثریت قریب به اتفاق بیت کوینی را که در ابتدا از بیت فینکس هک شده بود، مصادره کنند، با این حال، هیچ یک به این هک متهم نشده اند. از دیگر دارایی های آنها که توقیف شد، انواع تلفن های مشعل و صفحات گسترده بود که جزئیات تلاش آنها برای تمیز کردن موفقیت آمیز سکه ها را شرح می داد.
Bitfinex از سال 2016 هیچ گونه نقض اضافی را فاش نکرده است، اما شرکت خواهر آن تتر در نوامبر 2017 هک شد.
Bitfinex در بیانیه خود به OCCRP گفت که گزارش Ledger Labs “ناقص” و “نادرست” است اما تاکنون نتوانسته است پس از مرگ خود را توضیح دهد که چگونه هک اتفاق افتاده است. همچنین هنوز بهروزرسانی در مورد حسابرسی مالی وعده داده شده از بیش از نیم دهه پیش ارائه نشده است.
نکته ای دارید؟ برای ما ایمیل یا ProtonMail ارسال کنید. برای اطلاع از اخبار بیشتر، ما را دنبال کنید توییتر، اینستاگرام، آسمان آبی، و اخبار گوگل، یا مشترک ما شوید یوتیوب کانال