Kłopoty Blockchain.info – poważne luki w mechanizmach zabezpieczeń portfeli

 

Ostatnie tygodnie z pewnością nie będą najmilej wspominane przez właścicieli serwisu Blockchain.info oferującego m.in. usługi eksploratora łańcucha bloków oraz portfela online. Okazuje się, że firma ma bardzo poważne problemy z systemem zabezpieczeń swoich kont. W ich wyniku już setki użytkowników serwisu straciło swoje bitcoiny, które zostały wykradzione z ich portfeli. Na firmę posypała się lawina krytyki internautów.

 

Wszystko zaczęło się od wymiany zdań na forum Reddita pomiędzy developerami Blockchain.info oraz innego popularnego serwisu oferującego usługi portfela oraz płatności bitcoin – Coinbase.

 

Jeden z programistów Coinbase, już wtedy wytykał firmie braki w systemie zabezpieczeń serwisu, w wyniku których łupem złodziei padła pokaźna suma kryptowaluty.

 

Następnie portfel Blockchain.info został usunięty z listy polecanych portfeli głównej strony projektu Bitcoin – Bitcoin.org.

 

Argumentami ku temu, według administratorów strony, miały być zbyt rażące naruszenia dotyczące mechanizmów zabezpieczeń serwisu. Wśród nich wymieniano przede wszystkim problemy związane z bezpieczeństwem kopii zapasowych portfeli oraz broniących dostępu do nich haseł, a także brak implementacji ze strony Blockchain.info elementów bezpieczeństwa, które powoli stają się standardem w innych portfelach, m.in.: mechanizmów deterministyczności (BIP32), haseł losowych, systemu generowania kopii zapasowej podczas tworzenia portfela, rotacyjności adresów czy też domyślnego zabezpieczenia weryfikacji dwustopniowej (2FA).

 

Dodatkowa krytyka ze strony Bitcoin.org dotyczyła braku transparentności firmy.

 

Blockchain.info i Bitcoin.org doszły do porozumienia, które zakłada 60-dniowy okres na usunięcie wszystkich najbardziej rażących niedociągnięć związanych z kwestiami bezpieczeństwa serwisu. Jeśli tak się stanie, po tym czasie Blockchain zowu zawita na Bitcoin.org.

 

W międzyczasie odnotowano także incydenty utraty środków przez użytkowników serwisu, którzy łączyli się z nim poprzez anonimową, wirtualną sieć Tor. Serwis jednak w miarę szybko zareagował na ten problem – najpierw blokując dostęp do kont poprzez Tor, a następnie uruchamiając dostęp do domeny .onion przez Tor z protokołem SSL.

 

Znacznie poważniejsza okazała się jednak inna kwestia. Bez wdawania się w zbędne szczegóły, okazało się że klucze prywatne portfeli Blockchain.info generowane były przy zbyt niskim poziomie entropii. Mówiąc prościej – losowe wartości, które powinny być wykorzystywane do tworzenia tego rodzaju kluczy, okazały się nie być do końca losowymi. Zaś do kolejnych kluczy często wykorzystywano już wcześniej użyte ciągi liczbowe.

 

Bazując na tym, wprawiony hacker był w stanie wykorzystywać adresy publiczne do obliczania wartości odpowiadających im kluczy prywatnych. Setki kont użytkowników portfeli Blockchain.info zostało ogołoconych ze środków właśnie w wyniku tej luki.

 

Blockchain zobowiązał się wyrównać wszystkie straty poniesione przez swoich klientów, mimo to fala negatywnych komentarzy ze strony internautów wymierzona w stronę firmy nie słabła. Wielu komentatorów oskarżało właścicieli firmy m.in. o niewłaściwą pracę nad jej rozwojem oraz liczne problemy w kwestii jej zarządzania.

 

Przypomnijmy, iż firma na swój rozwój pozyskała niedawno ponad 30 milionów dolarów od zewnętrznych inwestorów. Póki co, nie przynosi to jednak wymiernych efektów przynajmniej w kwestii bezpieczeństwa serwisu.

 

Pomimo zapewnień o poprawie, włodarze Blockchain.info, w tym jej prezes, starali się bronić przed zarzutami, starając się nakreślić swój punkt widzenia w sprawie:

 

Nicolas Cary, prezes Blockchain.info:

 

Nie sądzę, aby można było powiedzieć, że wszystko to z czym mamy do czynienia na Reddicie to prawdziwa krytyka. Uważam, że kilku nadmiernie otwartych członków społeczności, reprezentujących marki również narażone na tego rodzaju niebezpieczeństwa, stoi za częścią tego rodzaju oskarżeń. Im także się przysłuchujemy. Wiemy, że musimy bardziej się starać. Posiadamy bardzo mocną drużynę programistów.”

 

Stworzyliśmy jak dotąd naprawdę pokaźną ilość oprogramowania. Przestrzegamy odpowiednich standardów jakości i bezpieczeństwa. Prawdziwy przekaz jaki chcemy dać społeczności, to zapewnienie, że zamierzamy się poprawić. Wiemy, że musimy wykonywać lepszą pracę. W tym samym czasie jednak, z pokorą wykonujemy to co należy, aby zaopiekować się naszymi klientami, kiedy pojawiają się problemy.”

 

Czarę goryczy i, chyba możemy już użyć tego słowa, kompromitacji dla Blockchain.info składającej się na wydarzenia ostatnich tygodni, dopełnił jednak „wyczyn” jednego z bardziej „zaawansowanych” użytkowników forum BitcoinTalk.org, występujący tam pod pseudonimem johoe.

 

Udało mu się bowiem wyprowadzić z kont Blockchain.info łącznie 255 BTC. Okazało się jednak, że osoba ta zrobiła to tylko po to, aby obnażyć najpoważniejsze luki w zabezpieczeniach tamtejszych portfeli. Wszystkie środki zostały niedawno zwrócone na adres dyrektora ds. technologii Blockchain, Bena Reeves’a.

 

W międzyczasie okazało się jednak, że johoe udało się w ten sposób dostać do ponad tysiąca kont użytkowników serwisu. Nadal jednak nie mamy stuprocentowej pewności, że „uczciwy hacker” był jedyną osobą, której udała się ta sztuka. Jeden (ale prawdobodonie nie jedyny) z użytkowników Blockchain.info twierdzi, że blisko 100 ukradzionych mu bitcoinów powędrowało niestety na inne adresy.

 

Jaki los czeka teraz najpopularniejszy dotychczas internetowy portfel bitcoin? Z pewnością autorytet serwisu i zaufanie jakim darzyło go ponad 2,5 miliona zarejestrowanych tam użytkowników zostały mocno podważone. Na właścicieli blockchain.info czeka teraz dużo pracy, aby to zaufanie odbudować.

 

 

Wszelkie kopiowanie, dystrybucja, elektroniczne przetwarzanie oraz przesyłanie zawartości ze stron bitcoin.pl wymaga uprzedniej zgody portalu.