Nowe szczegóły w sprawie włamania na giełdę Bitfinex

Pierwsza fala emocji po włamaniu na giełdę BitFinex opadła. Kurs BTC po ostrym nurkowaniu nieco odbił i ustabilizował się. Giełda straciła prawie 120 000 BTC, co według nieoficjalnych szacunków stanowiło około 70% jej aktywów. Teraz nadeszła pora na postawienie dwóch zasadniczych pytań: jak do tego doszło i co dalej z giełdą i funduszami jej użytkowników?

 

 

Pierwsza fala emocji po włamaniu na giełdę BitFinex opadła. Kurs BTC po ostrym nurkowaniu nieco odbił i ustabilizował się. Giełda straciła prawie 120 000 BTC, co według nieoficjalnych szacunków stanowiło około 70% jej aktywów. Teraz nadeszła pora na postawienie dwóch zasadniczych pytań: jak do tego doszło i co dalej z giełdą i funduszami jej użytkowników?

Zacznijmy od pierwszej kwestii. Cała sprawa zaczęła się w momencie, gdy BitFinex usiłował sprostać amerykańskim wymaganiom prawnym. Zdecydowana większość giełd zasadniczą część funduszy trzyma w zimnym portfelu –nie połączonym z siecią. Nawet, gdy haker opanuje system giełdy, zimny portfel pozostaje poza jego zasięgiem. Jednakże środki umieszczone w zimnym portfelu w sposób oczywisty są kontrolowane przez giełdę, natomiast nie są kontrolowane przez jej klientów.

To z kolei zmienia kwalifikację giełdy w amerykańskim prawie finansowym. Co w tej sytuacji zrobił BitFinex? Otóż… postanowił pozbyć się zimnego portfela. W zamian środki w gorącym portfelu były zabezpieczone techniką wielu kluczy (multisig) przy współpracy z firmą BitGo.

Konfiguracja systemu BitFinexa była następująca: jeden klucz był kluczem roboczym giełdy, drugi był w BitGo, trzeci był kopią zapasową. Transakcje podpisywały dwa z trzech kluczy. Transakcje wygenerowane przez BitFinexa i podpisane pierwszym kluczem były wysyłane do BitGo do podpisania. Dwukrotnie podpisane transakcje były następnie rozgłaszane przez węzeł BitFinexa do sieci Bitcoin. W ten sposób klucz BitGo nie opuszczał serwerów firmy i jak twierdzą jej przedstawiciele, serwery te nie zostały naruszone.

Zauważmy, że konieczność podpisania każdej wychodzącej z BitFinexa transakcji umożliwiała BitGo ich monitorowanie. Jak to więc możliwe, że wypłata 120 000 BTC przeszła niezauważona? Prawdopodobną hipotezą jest założenie, że złodziej uzyskał dostęp do API jakie BitFinexowi pozwalało na kontrolowanie ich konta w BitGo i zmienił limity. Inne podejrzenie sugeruje, że BitFinex sam naciskał BitGo na zniesienie limitów dla „ułatwienia” sobie pracy. To co się udało ustalić na podstawie blockchaina, to fakt, że transakcje złodzieja były prawidłowo podpisane roboczym kluczem giełdy i kluczem BitGo, więc nie uzyskał dostępu do klucza zapasowego.

Przy okazji reakcji firmy BitGo na całe wydarzenie warto zauważyć “śliską” kwestię rzekomego ubezpieczenia środków zgromadzonych na BitFinexie, a zabezpieczanych przez BitGo. Był to argument wykorzystywany przez BitFinex do reklamy swoich usług. Zakładając konto na giełdzie użytkownik jednocześnie zakładał konto w BitGo i był objęty regulaminami obu usług. Stwarzało to wrażenie, że BitGo ubezpiecza środki każdego użytkownika z osobna. Po kradzieży BitGo szybko usunęło ze swojej strony informację o ubezpieczeniu środków, po czym ją przywróciło z dodaną wstecznie informacją, że ubezpieczenie przestało obowiązywać w styczniu 2016.

Rzekomo poinformowano o tym wszystkich klientów, ale najwidoczniej w tym przypadku użytkownicy BitFinexa nie byli traktowani jako indywidualni klienci BitGo. Można się domyślać, że BitGo rozpoczyna krycie tyłów w obawie przed ewentualnymi procesami sądowymi.

Teorii tłumaczących włamanie jest oczywiście wiele. Jedna z nich zwraca uwagę na minusy korzystania przez giełdy z usług CloudFlare chroniących przed atakami DDoS. Wewnątrz CloudFlare cały ruch sieciowy między klientami a giełdą jest rozszyfrowany i pracownicy firmy mogą wykonać bez trudu dowolny praktycznie atak na tę komunikację. Krytycy tej teorii argumentują, że ruch między BitFinexem a BitGo raczej nie przechodzi przez CloudFlare.

Co ciekawe złodziej systematycznie przesuwał bitcoiny z adresów użytkowników nie na jeden zbiorczy adres, ale suma skradziona każdemu użytkownikowi była przelewana na adres oddzielny. Środki póki co pozostają na tych drugich adresach. Zdaniem niektórych takie zachowanie może świadczyć o tym, że mamy do czynienia z „insider job”, albo wręcz cała kradzież została sfingowana przez BitFinex. Inni z kolei sugerują, że te środki są właśnie przepuszczane przez jakiś anonimizujący mikser lub zostaną „wkręcone” do miksera później.

Co zrobi teraz giełda? Na razie wyłączono handel i przystąpiono do zamknięcia otwartych pozycji z dźwignią. Mają one zostać zamknięte według kursów z momentu wyłączenia handlu. Rozliczone mają też być swapy (pożyczki udzielane przez użytkowników giełdy innym użytkownikom otwierającym pozycje z dźwignią). Po zakończeniu tego procesu giełda będzie dokładnie wiedziała ile komu ma oddać. Ale czy będzie miała z czego? Wnosząc po wpisie na blogu prawdopodobnie nie będzie miała.

Można się więc spodziewać rozłożenia strat na wszystkich użytkowników posiadających depozyty w BTC. Pojawiła się też propozycja spłacenia należności udziałami w giełdzie, a nawet wypuszczenia własnej kryptowaluty, która byłaby nośnikiem długu giełdy wobec użytkowników, umożliwiłoby to obracanie tymże długiem.

Niestety na poszkodowanych we włamaniu próbują żerować kolejni przestępcy, którzy uruchomili kampanię phishingową. Rozsyłając maile z podobnej domeny „ibitfinex.com” usiłują wyłudzić dane logowania użytkowników na ich konta na giełdzie. Osoby mające konta na BitFinexie powinny być teraz podwójnie ostrożne i podejrzliwie sprawdzać każdy mail.

Sposób w jaki BitFinex pokryje (lub nie) straty użytkownikom może być istotny dla kursu. Mamy do czynienia z największym włamaniem na giełdę od czasów afery MtGox, o ile tamtą aferę można nazwać włamaniem. W przypadku mniejszych kradzieży (BitStamp, czy samBitFinex) giełdy pokrywały straty z własnych funduszy. Teraz jednak skala kradzieży prawdopodobnie przekracza możliwości BitFinexa jednak dużo może zależeć od planu naprawczego. Konkretne decyzje giełda ma ogłosić prawdopodobnie jeszcze dziś. Informację będziemy aktualizować na bieżąco pod tym artykułem.

 

[aktualizacja – 06.08.2016 18:30]

 

Giełda Bitfinex ogłosiła przed chwilą, że straty po włamaniu zostaną rozłożone na wszystkich użytkowników. Jako, że na giełdzie były nie tylko bitcoiny, ale również inne krytpowaluty i waluty fiat, stan kont wszystkich użytkowników na giełdzie pomniejszy się o 36%. Dodatkowo każdy w miejsce brakujących środków dostanie żetony BFX, które może zamienić np. na akcje firmy lub poczekać na wymianę środków w przypadku, gdy giełda “stanie na nogi” lub znajdzie inwestorów.

 

Bitfinex zapowiedział wznowienie działania w ciągu 24/48 godzin.