Ethereum — платформа для создания децентралированных онлайн-сервисов на базе блокчейна. Обменные единицы Ethereum обычно называют «эфиром», причем эта криптовалюта имеет потенциал не меньший, чем у Bitocoin, а может, даже и больший. Несмотря на некоторые проблемы в процессе становления платформы, Ethereum становится все более популярным день ото дня. И эта популярность привлекает не только благонамеренных пользователей, но и злоумышленников.

Некоторым из них удается неплохо нажиться. Причем киберпреступники вовсе не обязательно должны использовать уязвимости нулевого дня, идеально знать принципы работы протоколов криптовалюты и прочие вещи. Можно просто взять и подменить адрес кошелька, на который отправляются деньги во время Initial Coin Offering (первичное размещение токенов), или, сокращенно, ICO, на сайте жертвы. Компания Coindash заявила, что именно это и было сделано злоумышленниками с ее собственным сайтом, так что инвесторы этой организации после старта ICO один за другим отправляли свои средства на кошелек киберпреступников.

Пострадавшая компания представляет собой блокчейн-стартап. После того, как о проблеме стало известно, руководству Coindash пришлось остановить ICO, рассказав инвесторам о взломе своего сайта. За то время, пока на веб-сайте компании демонстрировался неправильный кошелек, злоумышленники смогли получить на свои счета более $7 млн. Сообщение о взломе было направлено руководством CoinDash всем инвесторам, также об этом сообщили в Twitter.


Всего за несколько минут переведено 43 тысячи эфиров. По курсу на 17 июля это как раз более $7 млн. Самое интересное то, что даже когда администрация Ethereum пометила этот кошелек, как фейковый (FAKE_CoinDash), инвесторы продолжали отправлять на него средства. В итоге злоумышленники собрали более $7,4 млн. Пока что идет расследование инцидента, но уже стало понятно, что ничем хорошим это не закончится. Уже сейчас компанию обвиняют в том, что взлом — вовсе не взлом, а целенаправленные действия ее руководства, направленные на незаконное обогащение. Ряд пострадавших пользователей сети заявили о намерении отправиться в суд.


Основная проблема, в общем-то, это отсутствие особых мер безопасности во время ICO. Размещать текстовую строку, от корректности информационного наполнения которой зависит, на правильный ли адрес отправятся миллионы долларов США — не самое лучшее решение. Всего нескольких минут хватило для того, чтобы злоумышленники получили основную сумму. Изначально предполагалось, что ICO компании Coindash пройдет гладко и без всяких проблем. Пока точно неизвестно, каким образом злоумышленники подменили текстовую строку на сайте, но вряд ли это был какой-то суперсложный способ — взломщики сайтов знают свое дело.



«Все, что мы знаем, так это то, что злоумышленник подменил адрес сразу после начала ICO», — говорит Рэм Эйвиссар, маркетинговый директор Coindash. Как уже говорилось выше, во взломе некоторые пользователи подозревают руководство компании, а не хакеров. Эту тему сейчас активно обсуждают на Reddit, выкладывая все новые и новые аргументы в пользу этой точки зрения. Даже те пользователи, кто не считает компанию виновной в обмане, утверждает, что деньги она вернуть обязана. «Я хочу получить свои деньги. Это ваш сайт, и вы виноваты в том, что не позаботились должным образом о своей безопасности», — заявил один из инвесторов, который отправил деньги на фальшивый кошелек. Еще один недовольный написал следующее: «Слишком поздно, я уже вложил средства! 31 тысяча эфиров отправилась по адресу! Вы ребята лучше верните мои деньги».

Этот взлом на данный момент является одним из крупнейших для компаний, имеющих дело с Ethereum. Еще более крупную сумму потерял в прошлом году инвестиционный фонд DAО. Тогда речь шла о целых $50 млн. Это привело к тому, что разработчики криптовалюты решили даже разделить платформу на две части для восстановления утраченных средств. Но большая часть пользователей системы посчитала, что это неоправданный риск и администрация решила не принимать кардинальных решений.


Несмотря на все сложности, позиции «эфира» сильны

Компания CoinDash уже заявила, что собирается вернуть средства своим вкладчикам: «Все инвесторы CoinDash получат свои токены назад. Мы работаем над разрешением ситуации». Заявление о том, что средства вкладчикам вернут, сделано. Вот только при этом никто не рассказал о том, как это планируется сделать. Те средства, которые ушли на кошельки злоумышленников, вряд ли удастся вернуть, так что либо компании придется платить из своего изрядно истончившегося кошелька, либо же возвращать средства всерьез никто не планирует.
Поделиться с друзьями
-->

Комментарии (39)


  1. StjarnornasFred
    18.07.2017 02:33
    -4

    Вот вам и недостаток децентрализованных валют. Будь она централизованной — могли бы просто начислить пострадавшим монетки и ещё 10% сверху в качестве извинений.


    1. Barnaby
      18.07.2017 03:09

      Ну да, всегда можно напечатать еще. Фиат тоже воруют, только не так просто и очевидно.


  1. Barnaby
    18.07.2017 03:09
    +7

    Что сказал Виталик? Ждем новый хардфорк?


    1. r85qPZ1d3y
      18.07.2017 05:20

      Виталика к ответу!


    1. Djeux
      18.07.2017 08:40
      +2

      При чем тут виталик? С тем же успехом могли подменить и адрес биткоинов и любой другой валюты, результат был бы аналогичный.


      1. rPman
        18.07.2017 10:04
        +1

        DAO вспоминайте


        1. Djeux
          18.07.2017 13:22

          Я помню DAO, но там была бага в самом блокчейне, а не стороннем сайте который просто его использовал.
          Тут получается что у меня сперли кошелек, но виноват в этом банк?


          1. maxpsyhos
            18.07.2017 16:07
            +3

            Бага была не в самом блокчейне, а в контракте.


            1. bogolt
              18.07.2017 16:13

              Имхо бага в слишком низкоуровневом языке контрактов, который позволяет подобное совершать.


            1. Djeux
              18.07.2017 17:16

              Да, ошибся, бага была в контракте.
              В любом случае ситуация кардинально отличается от простой подмены адреса на сайте.


              1. rPman
                19.07.2017 10:11
                +1

                И чем отличается контракт от сайта? идеологически ничем — сторонний код, ошибки в нем — дело его владельца.

                Про DAO — Это как если бы банк допустил у себя на сайте ошибку, которая приводит к потере денег клиентов, и для ее исправления разработчики браузеров сделали бы фикс уровня — если банк такой то запускать другой код.


          1. Barnaby
            18.07.2017 16:13
            +1

            бага в самом блокчейне

            Разве не кривой контракт был? Виталик встал на сторону DAO и протолкнул форк, так бы не было никакого etc.


          1. Rulin
            19.07.2017 00:41
            +1

            бага в самом блокчейне

            Это была не бага, а фича с помощью которой можно было сделать рекурсию, чем «злоумышленник» и воспользовался


  1. mwizard
    18.07.2017 04:06
    +13

    Снова форкнут, как пить дать.

    Будет Ethereum (в котором DAO и Coindash не взламывали), Ethereum Classic (в котором не взламывали только DAO) и Ethereum Much Classic Very Wow (в котором у Виталика нет власти).


    1. Moon_Lobster
      18.07.2017 13:04
      +1

      На сколько я понимаю в данной ситуации Ethereum не при чем, т.к ломанули сайт самого стартапа, соответственно и форка ждать не нужно, пока что)


    1. Anarions
      18.07.2017 13:19
      +2

      Объёмы вроде совсем другие, не будут из-за такой мелочи хардфоркать.


  1. r85qPZ1d3y
    18.07.2017 05:34

    CoinDash сам ничего не воровал? Как минимум, закос под известный бренд криптовалюты — Dash, с которым его предполагалось путать, вот с этого надо было начинать, когда принимали вопрос вкладываться ли в стартап, или ну его…


  1. yurisv3
    18.07.2017 06:06
    +1

    очередная «серебрянная пуля» в очередной оказалась из говна. какой сюрприз!

    кто-то еще узнал — крипта точно так же липнет к рукам, как и фиаты.


    1. Dioxin
      18.07.2017 07:32
      +2

      А не надо кошельки на площади оставлять.


  1. ivan386
    18.07.2017 09:24
    -1

    Если всё по чесному то надо было заранее раздать публичный ключь которым будет подписана страница с адресом кошелька. Так люди могли бы проверить что информация не верна.


    1. mayorovp
      18.07.2017 11:32

      И этот ключ тоже можно подменить :-)


      1. ivan386
        18.07.2017 12:03

        Да. Но было бы время для того чтобы это обнаружить и перепроверить что у всех нужный ключь.


  1. MaximChistov
    18.07.2017 09:52
    +2

    Еще более крупную сумму потерял в прошлом году инвестиционный фонд DAО. Тогда речь шла о целых $50 млн. Это привело к тому, что разработчики криптовалюты решили даже разделить платформу на две части для восстановления утраченных средств. Но большая часть пользователей системы посчитала, что это неоправданный риск и администрация решила не принимать кардинальных решений.

    Вообще-то еще как приняла. Был хардфорк. В версии Ether все откатили, несогласные остались на версии Ether Classic


    1. technomancer
      18.07.2017 10:18
      +7

      Я вот этого не понимаю. Это что получается. Произошла фигня. И решением «совета директоров» или народного вече объявляется, что фигни не происходило. Кто считает, что фигня происходила — играют в свои игрушки и и писают в свой горшок. А если человек был в командировке/коме/запое?

      — С тебя 20 тыщ рублей.
      — У меня только 8. Есть ещё рубли Классик-2017, рубли Классик-2019. Возьмешь?
      — Не, там мутных типов дофига, валюта есть?
      — Евро NonBrexit?
      — По курсу ЦБ возьму.


      1. openkazan
        18.07.2017 10:49
        +1

        Мне эта ситуация вообще напоминает экономическую ситуацию во время гражданской войны в России.
        Каждая «власть» выпускала свои деньги и объявляла их единственными легитимными.
        Кредитный билет, бон, купон, Деникинские деньги, карбованцы и тд и тд и тд…


        1. Brenwen
          18.07.2017 10:53
          +1

          Некоторые хитрее поступали — брали старые деньги и штамп на них ставили. Деньги без штампа — недействительны. Чем не хардфорк?


        1. technomancer
          18.07.2017 10:53

          Ага-ага!
          «Царской Катенькой — сто рублей,
          керенками — полтора метра…
          советскими рублями — две тысячи
          и пять тысяч расписками от самого батьки.»


      1. r85qPZ1d3y
        18.07.2017 12:44

        technomancer, всё правильно написал. Виталика — в отставку. В противном случае ни о какой децентрализации не может быть и речи, если один больной человек, или кучка людей со своими интересами решают вообще по всем этапам протокола какие изменения.
        Вот человек, который позаимствовал $7,4 млн у хомячков, он наверняка в первые же часы все бабки через биржи в Dash, а там смиксует, и дальше по желанию или дополнительно через монеро, или через zCash или и то и другое. А через недельку виталя примет решение — хардфорку быть, и все средства у «негодяя» изымут.

        PS: я вовсе не против хардфорка эфира, где откат будет заключаться в исключении витали с блокчейна.


        1. Anarions
          18.07.2017 13:22
          +1

          Решение о хардфорке принимает сообщество вцелом. Если майнеры не пойдут майнить — хардфорк умрёт.


        1. technomancer
          18.07.2017 14:43

          Воу-воу-воу! Вот так вот скажешь, что на жаре молоко быстро киснет, глядь — с твоим портретом на знаменах уже бегут громить мэрию.
          Я не призываю никого в отставку. Может даже хорошо, что кто-то там сидит, мониторит ситуацию и думает на опережение.
          Но именно на опережение!
          И смущает меня (в первую очередь) растущее количество не зависящих друг от друга платежных средств (все ведь ещё помнят, зачем криптовалюты вроде как придумывали?) никак друг с другом не связанных. Может запросто вылиться в электронный вариант натурального обмена: поменять полученный от клиента эфир на даш, даш отдать в обмен на биткоины, биткоинами заплатить за поход с сыном на хоккей. И это только три!
          Криптовалюта — это просто цифры. Ими, в отличие от «бамажных» фантиков, даже костер растопить нельзя. И чем больше таких форков, тем выше вероятность, что однажды кто-то проснется с набором цифр на жестком диске, аналогичным по стоимости результату cat /dev/random.
          Мне видится, что было бы разумно ИЛИ разрабатывать механизм отзыва, возврата средств, ИЛИ работать над защитой/верификацией таких вот публичных кошельков.
          Первый вариант вроде как возвращение к тому же, от чего хотели избавиться.
          А для второго очень полезен был бы тот самый единый авторитетный узел.


          1. r85qPZ1d3y
            18.07.2017 14:53
            +2

            Добавлю. Крипта должна, и обязана быть независимой ни от кого.
            Сегодня «киберпреступник» увел у кого то солидную сумму, и разработчики которые рулят криптовалютой, из справедливых чувств решили отобрать у кибержулика деньги. Завтра они посчитают справедливым отобрать деньги на сбор в фонд путина, или навального, кому как нравится. Такого быть не должно.
            И отдельно для ICO можно запилить свой криптовалютный блокчей, где подобные фишки не будут прокатывать, но только для отдельного случая с ICO, и заранее уведомить, чтобы мы могли оперативно влошиться.

            PS: я надеюсь мой посыл ясен, тот кто увел бабло — красавчик. Ему до сих пор бабло капает, и будет капать. А делать вред всем пользователям эфира из за того, чтобы облапошенное хомячье вернуло свои гроши, на мой взгляд это и есть несправедливо.
            PPS: аверы, не забудьте в репу -, в карму тоже, и в комментах к профилю что нибудь про мамку мою написать.


            1. MnogoBukv
              18.07.2017 23:34
              -1

              «влошиться» — это вы нарочито так написали? ;)


  1. vsb
    18.07.2017 13:25

    Что значит «администрация Etherium пометила кошелёк, как фейковый»? А где гарантии, что они мой кошелёк не пометят, как фейковый? Хотелось бы побольше узнать, что за пометки такие.


    1. MaximChistov
      18.07.2017 13:29
      +2

      переводчик напутал
      https://etherscan.io/address/0x6a164122d5cf7c840d26e829b46dcc4ed6c0ae48 — вот тут его так пометили


      1. mazy
        18.07.2017 15:06

        судя по ссылке — продолжают поступать… уже $8.3м или єто колебания курса?


        1. alff31
          18.07.2017 23:25

          Нет, там по прежнему 43 тыс эфиров, просто курс подрос


          1. r85qPZ1d3y
            19.07.2017 01:28

            Нет, там по прежнему продолжают слать, просто мелкими суммами


  1. Tsimur_S
    18.07.2017 16:27

    Еще более крупную сумму потерял в прошлом году инвестиционный фонд DAО. Тогда речь шла о целых $50 млн. Это привело к тому, что разработчики криптовалюты решили даже разделить платформу на две части для восстановления утраченных средств. Но большая часть пользователей системы посчитала, что это неоправданный риск и администрация решила не принимать кардинальных решений.

    Разве это не привело к хардкфорку и появлению альтернативного блокчейна?


  1. dostapn
    19.07.2017 11:45

    Каждый раз заставляет улыбнуться событие рода «также об этом сообщили в Twitter».