Так получилось, что осколки этого «большого взрыва» задели и меня лично, и клиентов моей компании, которая в том числе занимается защитой информации. Сейчас многие из них стали обращаться с беспокойством о защите средств и вопросами по поводу случившегося. Потому, думаю, неплохо провести небольшой анализ.
Случай с NH — не прецедент. Объектами атаки и ранее становились майнинговые сервисы и кошельки. Среди недавних крупных «добыч» достаточно вспомнить Genesis Mining и Parity и посмотреть, как они вышли из такой ситуации.
Что позволило Genesis Mining не потерять клиентов после
хакерской атаки
Найти кибер-злоумышленников сложно, а вернуть украденное практически невозможно. Чаще всего приходится ждать пока хакеры допустят где-то ошибку, и надеяться, что таки допустят. Тем не менее, Genesis Mining довольно стойко перенесли скандал.
В июне 2017-го Genesis Mining обнаружили несанкционированный доступ к горячему кошельку, но не успели предотвратить утечку средств. И хотя размер украденных средств не разглашается, речь идет о внушительной сумме.
Как утверждает Genesis Mining, персональные данные пользователей остались в целости и сохранности, включая email-адреса. И компания не хранит данные о кредитных картах. А сам инцидент никак не повлиял на операции майнинга. И главное – сервис облачного майнинга компенсирует ущерб, нанесенный своим клиентам, вплоть до погашения суммы задолженности.
Как по мне, Genesis Mining — яркий пример того, как удачная коммуникация с клиентами и скорость реакции помогают сохранить репутацию компании.
Как Parity справился с атакой
Хотя биткоин на данный момент — самая прибыльная криптовалюта в дальней перспективе, и, следовательно, самая привлекательная для хакеров криптовалюта, майнеры эфириума тоже попали под «раздачу».
Практически в одно время с Genesis Mining была совершена атака на Parity — Ethereum-кошелек.
Уязвимость была обнаружена в библиотеке, которая отвечает за работу смарт-конракта, использующегося кошельками с мультиподписью.
Этот баг позволил превратить уязвимую библиотеку в кошелек и затем стать его владельцем. Собственно, именно такую шалость проделал пользователь под ником Devops199. И эта шалость стояла 513 774 ETH (согласно официальному отчету) на 517 заблокированных кошельках.
Если верить самому новоявленному хакеру, вышло все случайно. После получения контроля, тот отдал команду на самоуничтожение контракта. А это в свою очередь вывело из работы большое количество кошельков, заблокировав все находящиеся на них средства. Так новичок (вроде как) «казнил» 334 466 874 долларов (на момент написания материала).
Реакция создателей кошелька довольно сомнительна. Сообщили, что белые хакеры уже приступили к решению проблемы, порекомендовали пользователям вывести свои сбережения на безопасные носители. И в качестве решения не нашли ничего лучше хардфорка.
Что далеко не всем понравилось (естественно).
А в своем официальном отчете, обнародованном 15 ноября 2017 года, и вовсе заявили, что знали о баге еще в августе, но не успели его исправить. Хм, очень дорогостоящая медлительность.
В последнее время атаки заметно участились — к примеру, на тех же Parity злоумышленники покушались дважды за одну неделю. Проблема заключается в том, что достаточно сложно отследить несанкционированные сделки, а вернуть утраченный эфир пока не удалось никому, кроме Виталика Бутерина, создателя платформы Ethereum.
Как NiceHash лишились $70 млн
По сведениям пользователей сервиса, сумма, которую потеряли NiceHash, уже достигла $70 млн, и стремительно продолжает расти в долларовом эквиваленте. Официальный сайт сервиса заморожен уже несколько дней, хотя правообладатели обещали справиться с неполадками в течение 24-х часов с момента ограбления.
NiceHash скрывать хакерскую атаку не стали: в день происшествия на официальной странице в Facebook было опубликовано заявление о взломе, в котором компания настоятельно рекомендовала пользователям сменить пароли, а также попросила присоединяться к расследованию всех неравнодушных специалистов по кибербезопасности. За помощь даже обещают вознаграждение в виде битков.
Кроме того, к расследованию были привлечены и международные правоохранительные органы.
Дальше были интервью генерального директора Марко Кобал и прямые включения, обещания вернуть сервис к работе и украденные биткоины тоже. Коммуникация с пострадавшими клиентами есть – это уже большой плюс. Но пострадавшим нужны не разговоры, а свои деньги. И конечно, отовсюду полезли приверженцы заговорщических теорий, которые обвинили в краже сам NiceHas.
Есть смысл уничтожать курицу, несущую золотые яйца?
NiceHash за время работы заработали себе имя, которому доверяют сотни тысяч майнеров. Это можно понять по прибыли компании.
Читая комментарии о теории заговора и том, как владельцы компании отправились на Кубу с деньгами, которые «украли у самих себя», я удивляюсь. Логика на самом деле проста: компания
собирает комиссию в размере 2-4% с одной транзакции плюс другие источники, получаем около $50 тыс в день дохода. Назревает вопрос: есть ли смысл компании «воровать» сумму, которую она спокойно может заработать за два месяца, компрометируя себя в глазах пользователей?
И я говорю это не как человек, у которого «хата скраю». А как тот, кого ситуация коснулась также, и довольно ощутимо. Сейчас особых переживаний у меня нету, ибо репутация такого игрока, как NiceHash стоит много дороже украденного.
Как уберечь себя от кражи?
Как не прискорбно, но ответ неутешителен: никак.
Криптовалюта сама по себе довольно рискованна. А учитывая нынешний подъем, стала еще и объектом пристального внимания со стороны хакеров.
И от этих атак не застрахован никто. Можно потерять миллионы даже из-за уязвимости, которая не считалась критической (привет, NiceHash). Можно использовать новейшие методы защиты, но и в них какие-то умные «плохие парни» найдут лазейку. Так что элемент риска будет всегда. Но ведь все мы знаем, кто не пьет шампанского. Что касается того, какие меры предпринимать:
- как можно чаще выводить деньги из пулов на
личные кошельки; - пользоваться услугами проверенных компаний с
хорошей репутацией.
А в остальном — кто не рискует, тот не зарабатывает на биткоине.
Комментарии (19)
odin_v_pole
16.12.2017 12:18около $50 тыс в день дохода. Назревает вопрос: есть ли смысл компании «воровать»
сумму, которую она спокойно может заработать за два месяца, компрометируя себя
в глазах пользователей?
70млн по 50тис./день накапают за 1400 дней (почти 4 года), а уж никак не за 2 месяца. Так что да, смысл есть.
Golota
16.12.2017 12:49-1Земляне, не будьте лохами!
Вы ничего не понимаете в шифровании в основной своей массе, а в протоколах кода Сатоши, говорят, куча каких-то странных, пока неактивированных скриптовых закладок.
Стадный инстинкт — это не повод бросаться с остальной толпой с обрыва в пропасть, если вы человек разумный.
Вместо того, чтобы пытаться «навариться» на заведомо порочном росте "безнала для Тени", которым является по сути криптосеть, нам надо создать неанонимную некоммерческую систему расчетов по обмену бартерными трудовыми услугами среди фрилансеров.
Нас спасет только общемировая поляна деанонимизированных трудовых обменов.
Будущее, если оно у нас есть в этом мире наглеющего антагонизма, за фрилансерским трудом.izzholtik
16.12.2017 17:30Вы сейчас предлагаете вернуться к натуральному обмену?
Golota
16.12.2017 23:19Ничуть. Представьте, что все земляне — это либо фрилансеры, либо безработные. Рантье нету как класса. Тогда любой экономический обмен можно рассматривать как бартерный обмен трудом. Или предметами, накопившими в себе этот труд.
Просто деанонимизированную систему обмена трудом сложно подвести под статью и сложно запретить как вид. Тогда как крипту — можно запросто. Криптовалюты не запрещают, ибо пока они выгодны правящим верхам как способ связать избыточную — кризисную — фиатную наличность.
AlexanderS
17.12.2017 16:58Криптовалюты не запрещают, ибо пока они выгодны правящим верхам как способ связать избыточную — кризисную — фиатную наличность.
Что значит «связать»? По факту происходит перерасределние фиатного ресурса. Это и раньше было. Масштаб просто впечателяет — планетарный по сути)Golota
18.12.2017 19:18Денег слишком много эмитировано из-за кредитного мультипликатора и разрывов в балансах после 2008. Их надо связывать закопом на «поле чудес», чтобы не выстрелило в гиперинфляцию. Надувают пузыри по всем фронтам. Нефть, золото, ипотека… Биржи. Хаос конфликтов.
Тесла — пузырь. СпейсИкс — пузырь, Айфон Эппл — пузырь… В мире чертовски много дутого богатства. Это и есть кризис, когда внизу денег нет, а сверху их слишком, слишком много.
Система давно должна была обанкротиться, если бы не печатала — вопреки всем канонам монетаризма — деньги для залива своих же провалов наличностью. Власть имущие не хотят лишаться власти, даже если явно стратегически провалились.
Хипстеры же и биткойнеры короткоумые — как женщины — не хотят вдаваться в эти сложности. Это частные человечки, принимающие экономику как вторую природу: темную и стихийную. Им кажется, можно играть в игры с воротилами, не разобравшись, как устроено игровое поле и на что надрочен крупье.
«Какое небо голубое», одним словом.
sic
17.12.2017 18:19Представил, если безработным не будут выплачивать БОД в размере хотя бы 1/2 от средней зарплаты, то, простым языком говоря — нафиг такое будущее.
Можно, конечно. Но по факту, сложнее чем большинство других вещей, которые можно запретить. А есть ли в этом смысл (не все же к такому будущему стремятся, что и Вы) — вопрос открытый.
Dima954
16.12.2017 18:57Не успели закупиться криптой на низах?
Впрочем, если о серьёзном вопросе — полная деанонимизация будет возможна в обществе только тогда, когда не будет не только идиотских законов, которые можно было бы нарушить, но и полностью прекратится общественное порицание (неопасных) действий, которые являются законными, но неприемлемыми, например секс вне брака.
При этом закон будет рассматривать только совершенные действия, нанесшие
Dioxin
18.12.2017 09:46Было несколько фактов которые наводят на размышления:
1. Кража состоялась на очередном хайпе цены битки.
2. Не за долго перед кражей Найс уменьшил комиссию вывода с 5 до 3 %, тем самым вернув многих клиентов с внешних кошельков на свой внутренний.
А также некоторые сообщения в их ленте новостей:
NiceHash
4 дек в 14:52
Действия
Дорогие пользователи NiceHash, сегодняшняя выплата для продавцов мощности будет задержана на ~ 1 час
NiceHash
2 дек в 22:15
Действия
Плановые технические работы на веб-сайте и API начнутся через 15 минут. Некоторые части сайта и API не будут доступны приблизительно 15 минут.
NiceHash
1 дек в 15:07
Действия
Дорогие продавцы мощности, сегодняшняя выплата будет задержана из-за огромного объема данных, подлежащих обработке. Это просто задержка и все выплаты будут полностью обработаны в течение следующих часов. Благодарим за терпение и понимание.
NiceHash
23 ноя в 13:12
Действия
Дорогие пользователи, мы временно приостанавливаем вывод средств и выплаты для продавцов мощности в связи с проблемами с BitGo.
Мы работаем над тем, чтобы решить проблему как можно скорее и извиняемся за неудобства.
Мы просим о понимании и терпении.
Fox_exe
18.12.2017 10:02К NiceHash'у у большинства только одна притензия — «Почему они не включают сайт обратно»?
Нашли дыру, закрылы, другой внутренний кошель прописали иработайзарабатывай себе дальше.
Да и многие потеряли лиш доход за пару дней, т.к. есть автовывод на внешний кошелек. Но сервис больше недели лежит, а можно было продолжить работать и только за счет роста биткоина компенсировать все средства…Dioxin
18.12.2017 11:01Очень странно что при такой популярности Найса нет другого такого же удобного сервиса.
sic
Нет, ответ «никак» никакого пользователя не устроит.
Я давно не пользовался НайсХеш, но раньше, по крайней мере, основной проблемой их сервиса было то, что пользователь не имел возможности вывести деньги, когда захочет сам, и самостоятельно устанавливать размер комиссии. Это приводило к тому, что если ты майнишь очень мало, то иногда нужно было ждать месяцами когда твои деньги тебе отправят. На какой-то момент даже немного переживал, что это очередная схема Понци. А с учетом того, как я себе представляю, большинство пользователей НайсХеша такие же мелкие майнеры — сумма могла (и накопилась) огромная. Я не проверял ситуацию уже полгода, может что-то изменилось и я не прав.
Ну и оправдания в стиле «у нас и так большая прибыль, нам незачем воровать» не убедительны от слова никак. Прибыль капает медленно, а деньги вот можно взять прямо сейчас и где-то еще их использовать, например вложить в чужой перспективный проект и спокойно ехать на Кубу. Опять же, если это Понци, то просто внезапно долги перед мелкими майнерами могли превысить доходы от крупных.
Не сужу, не осуждаю, это просто информация к размышлению.
Barnaby
Вывод в биткоинах? Тогда ничего удивительного.
besitzeruf
там даже не в выводе дело (максимум потеря 6 дневной выручки), а в локальных кошельках найсхеша, на них пользователи могли хранить гораздо большие суммы (чтобы комиссия на вывод в итоге была не 4% а 2% :) )
Dioxin
Этот тот самый случай про «жадность фраера».
dobrman
К тому же, украв деньги не обязательно сворачивать бизнес, да и вообще вариантов много, но смысл фантазировать есть только у крупных майнеров, и то только у тех кто не особо парился с выводом.
Garbus
Есть еще одна мелочь. Укравший мог быть вовсе даже не владельцем сервиса получающим с него доход. Но имел возможность получить доступ к кошельку, воспользовавшись служебным положением.