Intrekking van kwetsbaarheden maakte bitcoin-diefstal van Flexcoin en Poloniex mogelijk

Hackers ontdekten zwakke punten in de beveiliging waardoor ze accounts konden overschrijven bij Flexcoin en Poloniex, twee websites die bitcoin-transacties faciliteren, en misbruikten ze om bitcoins van de twee services te stelen. De aanvallen zetten Flexcoin failliet en kosten de gebruikers van Poloniex 12,3 procent van hun bitcoins.

Flexcoin, die zichzelf omschreef als 'de eerste bitcoinbank ter wereld', kondigde maandag aan dat het zou sluiten nadat hackers 896 bitcoins hadden gestolen ter waarde van ongeveer US $ 600.000 uit hun 'hot wallet' - een bitcoin-portemonnee die is verbonden met internet. Het bedrijf heeft meer details over de hack vrijgegeven in een update die dinsdag op zijn website is geplaatst.

De aanvaller maakte eerst een nieuw Flexcoin-account aan en stortte er wat bitcoins in, zei Flexcoin in de update. Vervolgens 'misbruikte hij met succes een fout in de code die overdrachten tussen flexcoin-gebruikers mogelijk maakt. Door duizenden gelijktijdige verzoeken te verzenden, kon de aanvaller munten van het ene gebruikersaccount naar het andere' verplaatsen 'totdat het verzendende account werd overschreden, voordat de saldi werden bijgewerkt Dit werd vervolgens herhaald via meerdere rekeningen, waarbij het bedrag tot een sneeuwbal werd gebracht, totdat de aanvaller de munten opnam. "

Het bedrijf beschreef de kwetsbaarheid als een fout in zijn front-end, maar legde niet uit waarom zijn systeem geen rekening hield met overdrawing.

"De beschrijving van Flexcoin herinnert me aan kwetsbaarheden die ik tien jaar geleden zag in toepassingen voor online bankieren", zei Amichai Shulman, CTO van beveiligingsbedrijf Imperva, via e-mail. "Een individuele kwetsbaarheid is verschoonbaar, omdat er geen bewaking aanwezig is om deze tijdig te detecteren, niet."

"Zonder meer details is het moeilijk precies te zeggen hoe complex de aandoening was, maar het feit dat er meerdere actieve accounts en verzoeken nodig waren, maakt het minder waarschijnlijk dat ze deze aandoening zouden hebben gevonden door middel van basistests", zegt Tim Erlin, directeur van beveiligingsrisicostrategie bij beveiligingsbedrijf Tripwire, via e-mail.

Maar of de kwetsbaarheid complex of basaal was, is niet zo belangrijk als de impact die het had, zei Erlin. "De ernst van de fout wordt bewezen door de impact: Flexcoin is failliet."

Een bitcoin-uitwisseling genaamd Poloniex kondigde dinsdag ook aan dat een aanvaller 12,3 procent van zijn geld heeft gestolen met behulp van een techniek die resulteerde in overdreven rekeningen. Het is echter niet duidelijk of de aanval verband houdt met die tegen Flexcoin.

"De hacker ontdekte dat als je meerdere opnames allemaal in praktisch hetzelfde moment plaatst, ze op ongeveer hetzelfde moment zullen worden verwerkt", zei een gebruiker genaamd busoni, die zichzelf identificeerde als de eigenaar van de Poloniex-uitwisseling, op de BitcoinTalk forum. "Dit resulteert in een negatief saldo, maar geldige invoegingen in de database, die vervolgens worden opgepikt door de intrekkingsdaemon. Het grote probleem hier is dat de controle- en beveiligingsfuncties niet expliciet op zoek waren naar negatieve saldi."

Poloniex had meer geluk dan Flexcoin omdat het de ongebruikelijke opnameactiviteit detecteerde en transacties bevroor voordat de aanvaller meer schade veroorzaakte. Opnames uit de uitwisseling zijn opgeschort totdat het probleem is opgelost.

De eigenaar van Poloniex heeft niet gespecificeerd hoeveel bitcoins 12,3 procent van het geld vertegenwoordigen, maar hij is van plan het verloren bedrag gelijkmatig in mindering te brengen op alle gebruikerssaldi en het op tijd terug te vorderen van ruilkosten, die zullen worden verhoogd om het proces te versnellen.

Hij zei ook dat hij een deel van de schuld met zijn eigen geld zou dekken, maar niet alles. 'Als ik nu het geld had om de hele schuld af te dekken, zou ik het in een oogwenk afdekken', zei hij. 'Ik doe het gewoon niet en ik kan het niet zomaar uit de lucht halen.'

De incidenten met Flexcoin en Poloniex komen na Mt. Gox zei dat hackers een grote hoeveelheid bitcoins hebben gestolen van de prominente bitcoin-uitwisseling, waardoor het bedrijf vorige week failliet is verklaard.

Shulman maakt zich zorgen over het patroon van beveiligingsinbreuken in de afgelopen maanden die hebben geleid tot diefstal van bitcoin-uitwisselingen en andere diensten.

'We zien' financiële 'organisaties die te maken hebben met bitcoin als een toren van kaarten instorten', zei hij. 'Geen mogelijkheid hebben om (financieel) te herstellen van een online aanval is niet iets wat we zouden verwachten in een volwassen financiële markt. Ik denk dat wat bitcoin-gebruikers nu leren, op de harde manier, is dat er enkele voordelen zijn voor de bestaande' gecentraliseerde, 'gereguleerde financiële infrastructuur (zoals toezicht en verzekering bijvoorbeeld)'.

Erlin is van mening dat de recente uitbarsting van bitcoin-diefstallen in feite een bewijs is dat Bitcoin een geldig valutasysteem is. "Het zal echter alleen zo blijven als de markt het beschermingsniveau eromheen kan rijpen", zei hij.

"Aangezien er geen toezicht is op de implementatie van Bitcoin-processen en er geen organisatie is die de valuta ondersteunt, vermoed ik dat we meer van dit soort incidenten zullen zien en sommige van die incidenten zullen zowel individuen als bedrijven zoals Flexcoin treffen," zei Dwayne Melancon, CTO van Tripwire, via e-mail.

Volgens de Bitcoin-wikisite is het houden van een groot aantal bitcoins in een hete portemonnee "een fundamenteel slechte beveiligingspraktijk". Het is gebruikelijk dat bitcoin-uitwisselingen sommige fondsen in hete portefeuilles bewaren om onmiddellijke opnames te vergemakkelijken, maar de beste praktijk is om dit alleen met kleine bedragen te doen.

"Flexcoin heeft er alles aan gedaan om onze servers zo veilig mogelijk te houden, inclusief regelmatig testen", aldus Flexcoin. "In ons ~ 3-jarig bestaan ​​hebben we met succes duizenden aanvallen afgeslagen. Maar uiteindelijk was dit gewoon niet genoeg."

'Dat dit de ondergang van ons kleine bedrijf zou zijn, na de eindeloze uren werk die we erin hebben gestoken, was nooit onze bedoeling', zei het bedrijf. "We hebben onze klanten, ons bedrijf en uiteindelijk de Bitcoin-gemeenschap in de steek gelaten."

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.