Крупнейшие криптокражи, их исход и почему NiceHash не воровали сами у себя

Не так давно прогремел масштабный скандал с опустошением электронного счета одного из крупнейших майнинг-маркетов NiceHash. Стоимость биткоина растет, как древнерусский богатырь — не по дням, а по часам. Весьма лакомая добыча, не так ли?

Так получилось, что осколки этого «большого взрыва» задели и меня лично, и клиентов моей компании, которая в том числе занимается защитой информации. Сейчас многие из них стали обращаться с беспокойством о защите средств и вопросами по поводу случившегося. Потому, думаю, неплохо провести небольшой анализ.

Случай с NH — не прецедент. Объектами атаки и ранее становились майнинговые сервисы и кошельки. Среди недавних крупных «добыч» достаточно вспомнить Genesis Mining и Parity и посмотреть, как они вышли из такой ситуации.



Что позволило Genesis Mining не потерять клиентов после
хакерской атаки


Найти кибер-злоумышленников сложно, а вернуть украденное практически невозможно. Чаще всего приходится ждать пока хакеры допустят где-то ошибку, и надеяться, что таки допустят. Тем не менее, Genesis Mining довольно стойко перенесли скандал.

В июне 2017-го Genesis Mining обнаружили несанкционированный доступ к горячему кошельку, но не успели предотвратить утечку средств. И хотя размер украденных средств не разглашается, речь идет о внушительной сумме.

Как утверждает Genesis Mining, персональные данные пользователей остались в целости и сохранности, включая email-адреса. И компания не хранит данные о кредитных картах. А сам инцидент никак не повлиял на операции майнинга. И главное – сервис облачного майнинга компенсирует ущерб, нанесенный своим клиентам, вплоть до погашения суммы задолженности.
 


Как по мне, Genesis Mining — яркий пример того, как удачная коммуникация с клиентами и скорость реакции помогают сохранить репутацию компании.

Как Parity справился с атакой


Хотя биткоин на данный момент — самая прибыльная криптовалюта в дальней перспективе, и, следовательно, самая привлекательная для хакеров криптовалюта, майнеры эфириума тоже попали под «раздачу».

Практически в одно время с Genesis Mining была совершена атака на Parity — Ethereum-кошелек.
Уязвимость была обнаружена в библиотеке, которая отвечает за работу смарт-конракта, использующегося кошельками с мультиподписью.

Этот баг позволил превратить уязвимую библиотеку в кошелек и затем стать его владельцем. Собственно, именно такую шалость проделал пользователь под ником Devops199. И эта шалость стояла 513 774 ETH (согласно официальному отчету) на 517 заблокированных кошельках.

Если верить самому новоявленному хакеру, вышло все случайно. После получения контроля, тот отдал команду на самоуничтожение контракта. А это в свою очередь вывело из работы большое количество кошельков, заблокировав все находящиеся на них средства. Так новичок (вроде как) «казнил» 334 466 874 долларов (на момент написания материала).

Реакция создателей кошелька довольно сомнительна. Сообщили, что белые хакеры уже приступили к решению проблемы, порекомендовали пользователям вывести свои сбережения на безопасные носители. И в качестве решения не нашли ничего лучше хардфорка. 

Что далеко не всем понравилось (естественно).

А в своем официальном отчете, обнародованном 15 ноября 2017 года, и вовсе заявили, что знали о баге еще в августе, но не успели его исправить. Хм, очень дорогостоящая медлительность.

В последнее время атаки заметно участились — к примеру, на тех же Parity злоумышленники покушались дважды за одну неделю. Проблема заключается в том, что достаточно сложно отследить несанкционированные сделки, а вернуть утраченный эфир пока не удалось никому, кроме Виталика Бутерина, создателя платформы Ethereum.

Как NiceHash лишились $70 млн


По сведениям пользователей сервиса, сумма, которую потеряли NiceHash, уже достигла $70 млн, и стремительно продолжает расти в долларовом эквиваленте. Официальный сайт сервиса заморожен уже несколько дней, хотя правообладатели обещали справиться с неполадками в течение 24-х часов с момента ограбления.

NiceHash скрывать хакерскую атаку не стали: в день происшествия на официальной странице в Facebook было опубликовано заявление о взломе, в котором компания настоятельно рекомендовала пользователям сменить пароли, а также попросила присоединяться к расследованию всех неравнодушных специалистов по кибербезопасности. За помощь даже обещают вознаграждение в виде битков.

Кроме того, к расследованию были привлечены и международные правоохранительные органы.



Дальше были интервью генерального директора Марко Кобал и прямые включения, обещания вернуть сервис к работе и украденные биткоины тоже. Коммуникация с пострадавшими клиентами есть – это уже большой плюс. Но пострадавшим нужны не разговоры, а свои деньги. И конечно, отовсюду полезли приверженцы заговорщических теорий, которые обвинили в краже сам NiceHas.

Есть смысл уничтожать курицу, несущую золотые яйца?


NiceHash за время работы заработали себе имя, которому доверяют сотни тысяч майнеров. Это можно понять по прибыли компании.

Читая комментарии о теории заговора и том, как владельцы компании отправились на Кубу с деньгами, которые «украли у самих себя», я удивляюсь. Логика на самом деле проста: компания
собирает комиссию в размере 2-4% с одной транзакции плюс другие источники, получаем около $50 тыс в день дохода. Назревает вопрос: есть ли смысл компании «воровать» сумму, которую она спокойно может заработать за два месяца, компрометируя себя в глазах пользователей?

И я говорю это не как человек, у которого «хата скраю». А как тот, кого ситуация коснулась также, и довольно ощутимо. Сейчас особых переживаний у меня нету, ибо репутация такого игрока, как NiceHash стоит много дороже украденного.



Как уберечь себя от кражи?


Как не прискорбно, но ответ неутешителен: никак.

Криптовалюта сама по себе довольно рискованна. А учитывая нынешний подъем, стала еще и объектом пристального внимания со стороны хакеров.

И от этих атак не застрахован никто. Можно потерять миллионы даже из-за уязвимости, которая не считалась критической (привет, NiceHash). Можно использовать новейшие методы защиты, но и в них какие-то умные «плохие парни» найдут лазейку. Так что элемент риска будет всегда. Но ведь все мы знаем, кто не пьет шампанского. Что касается того, какие меры предпринимать:

  • как можно чаще выводить деньги из пулов на
    личные кошельки;
  • пользоваться услугами проверенных компаний с
    хорошей репутацией.

А в остальном — кто не рискует, тот не зарабатывает на биткоине.
Поделиться публикацией
Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

Зачем оно вам?
Реклама
Комментарии 23
  • +2
    Нет, ответ «никак» никакого пользователя не устроит.

    Я давно не пользовался НайсХеш, но раньше, по крайней мере, основной проблемой их сервиса было то, что пользователь не имел возможности вывести деньги, когда захочет сам, и самостоятельно устанавливать размер комиссии. Это приводило к тому, что если ты майнишь очень мало, то иногда нужно было ждать месяцами когда твои деньги тебе отправят. На какой-то момент даже немного переживал, что это очередная схема Понци. А с учетом того, как я себе представляю, большинство пользователей НайсХеша такие же мелкие майнеры — сумма могла (и накопилась) огромная. Я не проверял ситуацию уже полгода, может что-то изменилось и я не прав.

    Ну и оправдания в стиле «у нас и так большая прибыль, нам незачем воровать» не убедительны от слова никак. Прибыль капает медленно, а деньги вот можно взять прямо сейчас и где-то еще их использовать, например вложить в чужой перспективный проект и спокойно ехать на Кубу. Опять же, если это Понци, то просто внезапно долги перед мелкими майнерами могли превысить доходы от крупных.

    Не сужу, не осуждаю, это просто информация к размышлению.
    • 0
      что пользователь не имел возможности вывести деньги, когда захочет сам, и самостоятельно устанавливать размер комиссии.

      Вывод в биткоинах? Тогда ничего удивительного.

      • 0
        там даже не в выводе дело (максимум потеря 6 дневной выручки), а в локальных кошельках найсхеша, на них пользователи могли хранить гораздо большие суммы (чтобы комиссия на вывод в итоге была не 4% а 2% :) )
        • 0
          Этот тот самый случай про «жадность фраера».
      • 0
        К тому же, украв деньги не обязательно сворачивать бизнес, да и вообще вариантов много, но смысл фантазировать есть только у крупных майнеров, и то только у тех кто не особо парился с выводом.
        • 0
          Есть еще одна мелочь. Укравший мог быть вовсе даже не владельцем сервиса получающим с него доход. Но имел возможность получить доступ к кошельку, воспользовавшись служебным положением.
      • +2
        около $50 тыс в день дохода. Назревает вопрос: есть ли смысл компании «воровать»
        сумму, которую она спокойно может заработать за два месяца, компрометируя себя
        в глазах пользователей?

        70млн по 50тис./день накапают за 1400 дней (почти 4 года), а уж никак не за 2 месяца. Так что да, смысл есть.
        • –6
          Земляне, не будьте лохами!
          Вы ничего не понимаете в шифровании в основной своей массе, а в протоколах кода Сатоши, говорят, куча каких-то странных, пока неактивированных скриптовых закладок.
          Стадный инстинкт — это не повод бросаться с остальной толпой с обрыва в пропасть, если вы человек разумный.
          Вместо того, чтобы пытаться «навариться» на заведомо порочном росте "безнала для Тени", которым является по сути криптосеть, нам надо создать неанонимную некоммерческую систему расчетов по обмену бартерными трудовыми услугами среди фрилансеров.
          Нас спасет только общемировая поляна деанонимизированных трудовых обменов.
          Будущее, если оно у нас есть в этом мире наглеющего антагонизма, за фрилансерским трудом.
          • 0

            Вы сейчас предлагаете вернуться к натуральному обмену?

            • 0
              Ничуть. Представьте, что все земляне — это либо фрилансеры, либо безработные. Рантье нету как класса. Тогда любой экономический обмен можно рассматривать как бартерный обмен трудом. Или предметами, накопившими в себе этот труд.

              Просто деанонимизированную систему обмена трудом сложно подвести под статью и сложно запретить как вид. Тогда как крипту — можно запросто. Криптовалюты не запрещают, ибо пока они выгодны правящим верхам как способ связать избыточную — кризисную — фиатную наличность.
              • 0
                Криптовалюты не запрещают, ибо пока они выгодны правящим верхам как способ связать избыточную — кризисную — фиатную наличность.

                Что значит «связать»? По факту происходит перерасределние фиатного ресурса. Это и раньше было. Масштаб просто впечателяет — планетарный по сути)
                • 0
                  Денег слишком много эмитировано из-за кредитного мультипликатора и разрывов в балансах после 2008. Их надо связывать закопом на «поле чудес», чтобы не выстрелило в гиперинфляцию. Надувают пузыри по всем фронтам. Нефть, золото, ипотека… Биржи. Хаос конфликтов.
                  Тесла — пузырь. СпейсИкс — пузырь, Айфон Эппл — пузырь… В мире чертовски много дутого богатства. Это и есть кризис, когда внизу денег нет, а сверху их слишком, слишком много.
                  Система давно должна была обанкротиться, если бы не печатала — вопреки всем канонам монетаризма — деньги для залива своих же провалов наличностью. Власть имущие не хотят лишаться власти, даже если явно стратегически провалились.

                  Хипстеры же и биткойнеры короткоумые — как женщины — не хотят вдаваться в эти сложности. Это частные человечки, принимающие экономику как вторую природу: темную и стихийную. Им кажется, можно играть в игры с воротилами, не разобравшись, как устроено игровое поле и на что надрочен крупье.
                  «Какое небо голубое», одним словом.
                • 0
                  Представил, если безработным не будут выплачивать БОД в размере хотя бы 1/2 от средней зарплаты, то, простым языком говоря — нафиг такое будущее.

                  Можно, конечно. Но по факту, сложнее чем большинство других вещей, которые можно запретить. А есть ли в этом смысл (не все же к такому будущему стремятся, что и Вы) — вопрос открытый.
              • 0
                Не успели закупиться криптой на низах?

                Впрочем, если о серьёзном вопросе — полная деанонимизация будет возможна в обществе только тогда, когда не будет не только идиотских законов, которые можно было бы нарушить, но и полностью прекратится общественное порицание (неопасных) действий, которые являются законными, но неприемлемыми, например секс вне брака.
                При этом закон будет рассматривать только совершенные действия, нанесшие
                • 0
                  *нанесшие объективный вред.
              • 0
                Какой интересный способ отмывки денег
                • 0
                  Было несколько фактов которые наводят на размышления:

                  1. Кража состоялась на очередном хайпе цены битки.
                  2. Не за долго перед кражей Найс уменьшил комиссию вывода с 5 до 3 %, тем самым вернув многих клиентов с внешних кошельков на свой внутренний.
                  А также некоторые сообщения в их ленте новостей:

                  NiceHash
                  4 дек в 14:52
                  Действия
                  Дорогие пользователи NiceHash, сегодняшняя выплата для продавцов мощности будет задержана на ~ 1 час

                  NiceHash
                  2 дек в 22:15
                  Действия
                  Плановые технические работы на веб-сайте и API начнутся через 15 минут. Некоторые части сайта и API не будут доступны приблизительно 15 минут.

                  NiceHash
                  1 дек в 15:07
                  Действия
                  Дорогие продавцы мощности, сегодняшняя выплата будет задержана из-за огромного объема данных, подлежащих обработке. Это просто задержка и все выплаты будут полностью обработаны в течение следующих часов. Благодарим за терпение и понимание.

                  NiceHash
                  23 ноя в 13:12
                  Действия
                  Дорогие пользователи, мы временно приостанавливаем вывод средств и выплаты для продавцов мощности в связи с проблемами с BitGo.
                  Мы работаем над тем, чтобы решить проблему как можно скорее и извиняемся за неудобства.
                  Мы просим о понимании и терпении.
                  • 0
                    К NiceHash'у у большинства только одна притензия — «Почему они не включают сайт обратно»?
                    Нашли дыру, закрылы, другой внутренний кошель прописали и работай зарабатывай себе дальше.

                    Да и многие потеряли лиш доход за пару дней, т.к. есть автовывод на внешний кошелек. Но сервис больше недели лежит, а можно было продолжить работать и только за счет роста биткоина компенсировать все средства…
                    • 0
                      Очень странно что при такой популярности Найса нет другого такого же удобного сервиса.
                      • 0
                        Ближайший «Аналог» — Minergate. Но про него тоже много всякой гадости говорят…
                        • 0
                          Ни разу не аналог.
                          И кстати найс ожил. Надолго ли.
                    • 0
                      кошелек, куда все увели, пришел в движение…
                      Найс обещал открыться 20-го декабря, задерживается.
                      скорее всего всем вернут «нажитое непосильным трудом»

                      bitinfocharts.com/bitcoin/address/1EnJHhq8Jq8vDuZA5ahVh6H4t6jh1mB4rq
                      • 0
                        Запустились и это радует, появилась надежда вывести оттуда хоть что-то.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.