Злоумышленник похитил $7,4 млн в эквиваленте Ethereum, взломав сайт «эфирного» стартапа

ddfebae16c0699f088ca879e531fd5c5.jpg

Ethereum — платформа для создания децентралированных онлайн-сервисов на базе блокчейна. Обменные единицы Ethereum обычно называют «эфиром», причем эта криптовалюта имеет потенциал не меньший, чем у Bitocoin, а может, даже и больший. Несмотря на некоторые проблемы в процессе становления платформы, Ethereum становится все более популярным день ото дня. И эта популярность привлекает не только благонамеренных пользователей, но и злоумышленников.

Некоторым из них удается неплохо нажиться. Причем киберпреступники вовсе не обязательно должны использовать уязвимости нулевого дня, идеально знать принципы работы протоколов криптовалюты и прочие вещи. Можно просто взять и подменить адрес кошелька, на который отправляются деньги во время Initial Coin Offering (первичное размещение токенов), или, сокращенно, ICO, на сайте жертвы. Компания Coindash заявила, что именно это и было сделано злоумышленниками с ее собственным сайтом, так что инвесторы этой организации после старта ICO один за другим отправляли свои средства на кошелек киберпреступников.
Пострадавшая компания представляет собой блокчейн-стартап. После того, как о проблеме стало известно, руководству Coindash пришлось остановить ICO, рассказав инвесторам о взломе своего сайта. За то время, пока на веб-сайте компании демонстрировался неправильный кошелек, злоумышленники смогли получить на свои счета более $7 млн. Сообщение о взломе было направлено руководством CoinDash всем инвесторам, также об этом сообщили в Twitter.

Website has been hacked.

 — CoinDash.io (@coindashio) July 17, 2017


Всего за несколько минут переведено 43 тысячи эфиров. По курсу на 17 июля это как раз более $7 млн. Самое интересное то, что даже когда администрация Ethereum пометила этот кошелек, как фейковый (FAKE_CoinDash), инвесторы продолжали отправлять на него средства. В итоге злоумышленники собрали более $7,4 млн. Пока что идет расследование инцидента, но уже стало понятно, что ничем хорошим это не закончится. Уже сейчас компанию обвиняют в том, что взлом — вовсе не взлом, а целенаправленные действия ее руководства, направленные на незаконное обогащение. Ряд пострадавших пользователей сети заявили о намерении отправиться в суд.

This is how smart scammer do. See you at the court.

 — Taeun the Paper (@Compitalis) July 17, 2017


Основная проблема, в общем-то, это отсутствие особых мер безопасности во время ICO. Размещать текстовую строку, от корректности информационного наполнения которой зависит, на правильный ли адрес отправятся миллионы долларов США — не самое лучшее решение. Всего нескольких минут хватило для того, чтобы злоумышленники получили основную сумму. Изначально предполагалось, что ICO компании Coindash пройдет гладко и без всяких проблем. Пока точно неизвестно, каким образом злоумышленники подменили текстовую строку на сайте, но вряд ли это был какой-то суперсложный способ — взломщики сайтов знают свое дело.

739e07c2d3635b747ce2adc223046e76.jpg

«Все, что мы знаем, так это то, что злоумышленник подменил адрес сразу после начала ICO», — говорит Рэм Эйвиссар, маркетинговый директор Coindash. Как уже говорилось выше, во взломе некоторые пользователи подозревают руководство компании, а не хакеров. Эту тему сейчас активно обсуждают на Reddit, выкладывая все новые и новые аргументы в пользу этой точки зрения. Даже те пользователи, кто не считает компанию виновной в обмане, утверждает, что деньги она вернуть обязана. «Я хочу получить свои деньги. Это ваш сайт, и вы виноваты в том, что не позаботились должным образом о своей безопасности», — заявил один из инвесторов, который отправил деньги на фальшивый кошелек. Еще один недовольный написал следующее: «Слишком поздно, я уже вложил средства! 31 тысяча эфиров отправилась по адресу! Вы ребята лучше верните мои деньги».

Этот взлом на данный момент является одним из крупнейших для компаний, имеющих дело с Ethereum. Еще более крупную сумму потерял в прошлом году инвестиционный фонд DAО. Тогда речь шла о целых $50 млн. Это привело к тому, что разработчики криптовалюты решили даже разделить платформу на две части для восстановления утраченных средств. Но большая часть пользователей системы посчитала, что это неоправданный риск и администрация решила не принимать кардинальных решений.

faa6e06959aba80d173e83b132592d2f.png
Несмотря на все сложности, позиции «эфира» сильны

Компания CoinDash уже заявила, что собирается вернуть средства своим вкладчикам: «Все инвесторы CoinDash получат свои токены назад. Мы работаем над разрешением ситуации». Заявление о том, что средства вкладчикам вернут, сделано. Вот только при этом никто не рассказал о том, как это планируется сделать. Те средства, которые ушли на кошельки злоумышленников, вряд ли удастся вернуть, так что либо компании придется платить из своего изрядно истончившегося кошелька, либо же возвращать средства всерьез никто не планирует.

© Geektimes