Курс Zcash (ZXC) в течение последнего месяца во время того, как неизвестный злоумышленник или злоумышленница обналичивал(-а) средства

16 февраля 2017 года группа разработчиков Zerocoin нашла баг в официальной реализации Zerocoin. Оказалось, что в коде присутствует опечатка — единственный лишний символ, случайно добавленный при наборе на клавиатуре. Из-за этой опечатки была возможность проводить транзакции без соответствующей траты монет. То есть можно было перечислять деньги, не снимая их с кошелька.

К сожалению, опечаткой в коде уже воспользовались нечистые на руку и не имеющие совести персонажи, которые увели с кошельков Zerocoin криптовалюты в эквиваленте на $648 тыс.

Разработчики определили конкретное место в коде, в котором есть опечатка, и в течение 24 часов выпустили патч, так что больше подобное не повторится. По крайней мере, из-за этой конкретной ошибки больше невозможно будет сгенерировать деньги.

Разумеется, от ошибки никто не пострадал напрямую. Все монеты остались в кошельках у всех пользователей. Правда, из-за несанкционированной чеканки монет немного снизилась их курсовая стоимость. Но это естественный и знакомый процесс для всех, кто живёт в национальных государствах, бесконтрольно печатающих национальную валюту. В криптосистеме такое случается только в результате бага, а в национальных государствах это происходит постоянно как нормальное явление.

Все майнинг-пулы и биржи были немедленно предупреждены о необходимости обновить программное обеспечение.

Разработчики Zerocoin отмечают, что злоумышленник (или злоумышленники) провели атаку большой сложности, что говорит о его (или их) высокой квалификации. В частности, злоумышленник предпринял несколько шагов для маскировки атаки — он (или она) создал множество аккаунтов для обмена и осторожно распределял монеты по счетам и выводил их в течение нескольких недель.

По оценке разработчиков, хакеру удалось создать около 370 000 монет. Почти все они были проданы (обналичены), за исключением примерно 20 000 монет, которые разошлись по рынку. Если посчитать обналиченные 350 000 по сегодняшнему курсу, то это будет примерно $648 тыс. Но во время обналички курс временами был выше примерно на 10-20%, так что бессовестному пользователю при особенной удаче удалось заработать примерно $700 тыс.

Самое печальное, что в странах вроде РФ злоумышленнику даже не грозит наказание. Тут сразу несколько причин. Во-первых, криптовалюта ZCash не считается официльным платёжным средством на территории Российской Федерации. То есть это вообще не деньги, а некие «фантики», имеющие виртуальную ценность. Во-вторых, в данном случае нет потерпевшей стороны. Непонятно, кто должен писать исковое заявление и заявлять об ущербе. У всех пользователей кошельки остались нетронутыми, то есть никаких монет не было похищено. Ну и последнее: хотя нечестному и аморальному пользователю не грозит никакое наказание, его личность всё равно вряд ли удастся установить, потому что он (или она) грамотно использовал технологии анонимизации в интернете.

Разработчики подчёркивают, что выявленный баг никак не повлиял на анонимность криптовалюты и устойчивость системы. Более того, именно критографическая стойкость системы помогла выявить расход лишних монет. То есть этот баг лишь подтверждает, что Zerocoin — исключительно стойкая и прочная система, в которой невозможно генерировать «лишние» монеты. Произошло исключение, которое подтверждает правило.

Несмотря на серьёзность бага, разработчики приняли решение не заносить в чёрный список монеты, сгенерированные злоумышленником. Дело в том, что бoльшая часть из них уже обналичена, то есть они разошлись по кошелькам пользователей, совершенно непричастных к взлому. Так что за сохранность средств можно не волноваться.

Торговля монетами возобновилась вскоре после того, как майнинг-пулы и биржи обновили программное обеспечение.

В целом, ничего особо значительного не произошло. Криптовалюты только создаются, так что баги в программном обеспечении на раннем этапе их разработки — нормальное дело. Хакеры, которые находят эти баги и получают прямую финансовую выгоду от этого, приносят даже пользу системе, потому что помогают найти ошибки в программах. Сейчас на рынке сотни криптовалют, ошибок в программном обеспечении очень много. Поиск и исправление ошибок — нормальный процесс. Отличие только в том, что в данном случае хакеры получают немного больше денег, чем обычная зарплата тестеров на фирме.

Разработчики Zerocoin принесли извинения всем пользователям системы за то, что молчали о взломе в течение некоторого времени. Это было необходимо для того, чтобы заранее предупредить биржи и провести расследование, а также собрать факты, которые на 100% доказывают взлом.
Поделиться с друзьями
-->

Комментарии (28)


  1. alex_blank
    20.02.2017 21:20
    +2

    > Курс Zcash (ZXC) в течение последнего месяца во время того, как неизвестный злоумышленник или злоумышленница обналичивал(-а) средства

    > Во-первых, криптовалюта ZCash не считается официльным ..

    Вы точно не путаете Zerocoin (ZCoin) и ZCash? Это совершенно разные проекты.


    1. jahr
      20.02.2017 22:40

      Да, точно путаница, zerocoin — изначальный протокол, zcash — нашумевшая монета от создателей этого протокола, которые изменили и улучшили этот протокол, ошибка в zcoin, монете которую написали другие люди по первой версии протокола.)


      1. rPman
        21.02.2017 03:22

        Самое смешное, что в zcash (ZEC) подобное можно даже никогда не обнаружить (если транзакции будут идти с защищенных адресов) так как нет информации даже об объемах транзакций.

        Немного непонятно, как разработчики обошлись с 'нарисованными' монетами, исправив ошибку эти монеты должны были бы исчезнуть, тем самым наказав биржи, либо их необходимо дорисовать к общему количеству монет которых теперь будет больше 21миллиона.


        1. Red_Lion
          21.02.2017 19:44

          Видны там объемы — скрывают не транзакции, а адреса кошельков.


          1. rPman
            22.02.2017 03:17
            +1

            хм, и как это можно посмотреть?
            когда вопрос изучал, везде натыкался на фразы типа:
            https://z.cash/support/faq.html

            Zcash enhances privacy for users by encrypting sender, amount and recipient data within single-signature transactions published to its public block chain ledger.
            https://bitcointalk.org/index.php?topic=1663416.msg16708960#msg16708960
            d) Greater privacy with Zerocash since sender/receiver/amount are all obscured.

            http://zcoin.io/language/en/zcoin-and-zcash/
            Zcash conceals the amount of money sent in each transaction


  1. olku
    20.02.2017 21:32

    Как ошибка в коде кошелька, который любой может разобрать на байты, может сломать «инновационную сеть без центра доверия»?


    1. amarao
      21.02.2017 16:10
      +2

      У всех узлов сети работает один и тот же код. Центр доверия — репозиторий разработчиков.


  1. gearbox
    20.02.2017 21:40
    +2

    >То есть этот баг лишь подтверждает, что Zerocoin — исключительно стойкая и прочная система, в которой невозможно генерировать «лишние» монеты.

    Корректнее сказать «ТЕПЕРЬ исключительно стойкая и прочная система,» на что скептики могут ответить — в прошлый раз тоже так говорили :)


  1. Barnaby
    21.02.2017 00:16

    Во-вторых, в данном случае нет потерпевшей стороны. Непонятно, кто должен писать исковое заявление и заявлять об ущербе.

    Разве обменник(и) не понесли убытков? Достаточно экспертов которые заключат что это действительно стоило 700к $.


    1. R08
      22.02.2017 09:01

      По-моему, потерпевшие не обменники, а все держатели этой криптовалюты, курс которой из-за аферы снизился. Просто эти 730 тысяч эквивалентных долларов размылись между всеми и на каждого пришлась относительно небольшая сумма, но все же.


    1. Mad__Max
      26.02.2017 02:45

      Обменники напрямую не понесли — они перепродали эти монеты дальше, следующим пользователям еще и заработав свой % на этом как обычно.

      Непрямые(косвенные) убытки есть у всех пользователей (в первую очередь держателей крупных сумм — и вот тут как раз среди прочих могут и обменники оказаться, если большой резерв для обмена в этой валюте держали для быстрых обменов) из-за незапланированного увеличения общего количества монет в обороте.

      Так же как примеру когда наше государство решает еще триллиончик рублей напечатать мы все (все население и компании страны) за это потом постепенно расплачиваемся через инфляцию и снижение ценности наших накоплений и доходов. Так и тут — никого ни у кого напрямую не украли, но общее кол-во монет стало больше, а значит ценность каждой отдельно взятой монеты стала немножко меньше.


  1. roboter
    21.02.2017 00:24
    +3

    а подробности где? Как вообще такое найти можно? кто то писал альтернативный клиент и натолкнулся на баг?


  1. Tatikoma
    21.02.2017 03:29

    https://github.com/zcoinofficial/zcoin/commit/a6148876ae016f2627b8047611cdfe1e23a2a5af

    Вот эта опечатка? Это прекрасно :-)


    1. Tatikoma
      21.02.2017 03:37
      +2

      Не та ссылка… Это фикс фикса =)

      Коммит исправляющий один символ, это:
      https://github.com/zcoinofficial/zcoin/commit/b20c177032de3c4bfae62b5ada768a5dc2b4fa67

      Однако это не выглядит как опечатка же?..

      Еще есть вот это: https://github.com/zcoinofficial/zcoin/commit/0359bcb2ead7feac5a3a5f6c6581b1b54cda8dd1
      Но тоже не опечатка…

      Либо я плохо смотрю, либо нас надули.


  1. TimsTims
    21.02.2017 08:35
    +2

    подтверждает, что Zerocoin — исключительно стойкая и прочная система, в которой невозможно генерировать «лишние» монеты.

    Что за бред? Этот баг как раз подтвердил, что можно творить что угодно. Они дебит с кредитом не сводят, раз в системе нарисовалось больше монет, чем должно быть. Вообще параноик подсказывает, что раз один кулхакер это может, то и они сами это могут сделать в любое время.
    И вообще, в статье попахивает нытьем и обвинением «аморального» хакера, хотя он фактически никого не обокрал, и даже курс биржи не обвалил, поэтому он все сделал грамотно и особо то не навредил… Есть гораздо более аморальные поступки…


    1. SchmeL
      21.02.2017 11:24

      Да вот тоже не понятно, обычно добыча монет происходит через майнинг, а тут получается что монетки даже кошельки «рисовать» могут.


  1. HashFlare
    21.02.2017 11:52

    Пост читается как оправдательный пресс-релиз компании: "всего один лишний символ", "нечестный и аморальный пользователь" — да ещё и сожаления, что его посадить нельзя. Действия хакера, конечно, с душком, но с другой стороны — он же никого не обокрали на самом деле. Т.е. всё, что тут написано — это попытка перевести стрелки с косяков в собственном коде. Ну и приглашение хакерам всего мира поискать ещё уязвимостей. Вдруг ещё $700К кто-нибудь сможет заработать.


    1. rsk
      22.02.2017 09:02

      Согласен, немного похоже на историю со смарт-контрактами DAO (ethereum). Тогда тоже коины увели ничего особо не взламывая, а используя лишь сам смарт-контракт.


  1. rPman
    21.02.2017 16:39

    вдумайтесь, много ли в мире специалистов, способных искать уязвимости в коде криптовалют с технологией на основе гомоморфного шифрования? кроме самих разработчиков?


  1. SvyatoslavMC
    21.02.2017 20:04

    PVS-Studio на них нет… Камень в огород тем, кто считал, что опечатки не приводят к серьёзным проблемам.


  1. ideological
    22.02.2017 09:01

    Сейчас так много криптовалют развелось — пора делать таблицу сравнений ;)

    Что отличает школьника форкающего btc от серьезной организации?
    Есть какой-то смысл в «своей» криптовалюте, кроме того что у тебя наиболее всего намайненная в начале часть?
    Какая бы не была децентрализованная криптовалюта, разве она не завязана прочно на организацию которая пиарит её и разработчиков официальных кошельков и т.д.?


    1. Umrug
      23.02.2017 05:30

      Правильные вопросы задаёте, и сами же на них правильно отвечаете :)


  1. OKyJIucT
    22.02.2017 09:01

    Если никто не пострадал и не понес ущерб, может и мне $650к кто то выведет? Готов щедро поделиться))


  1. VMichael
    22.02.2017 09:01
    -1

    Разработчики Zerocoin к этому не причастны, конечно же.
    Никто из них.


  1. askv
    22.02.2017 09:01

    Неразменный ZCoin :)


  1. Demanih
    22.02.2017 09:02
    -1

    А почему не предположить что разработчики сами решили подзаработать, разработали хитрую (сложную) схему, подготовились, внесли баг (всего один символ) в программу, вывели себе бабок, закрыли баг, свалили всё на злобных хакеров…


  1. yokotoka
    22.02.2017 09:02
    -1

    1. Пишешь криптовалюту, продумываешь и закладываешь «случайную» опечатку (tm) в коде.
    2. Популяризуешь криптовалюту.
    3. Аккуратно пользуешься созданной дырой, выводишь бабло себе на пенсию.
    4. «Обнаруживаешь» баг, выпускаешь патч, валишь всё на хакеров из России. Вне подозрений.
    5. ??????
    6. PROFIT!

    Считаю сомнительными истории про проделки эфемерных хакеров, когда речь идёт о возможности быстро и без палева разбогатеть на создании криптовалют, заложив подобные «взломы» в сценарий их развития? Скорее похоже, что автору срочно деньги нужны, или он решил что надо сливать zerocoin сейчас, дороже уже не будет.


    1. mayorovp
      22.02.2017 09:19

      Можно намайнить денег в самом начале, пока майнит ее лишь 1 компьютер в мире. Это намного незаметнее чем допускать случайные опечатки!