Ethereum — платформа для создания децентралированных онлайн-сервисов на базе блокчейна. Обменные единицы Ethereum обычно называют «эфиром», причем эта криптовалюта имеет потенциал не меньший, чем у Bitocoin, а может, даже и больший. Несмотря на некоторые проблемы в процессе становления платформы, Ethereum становится все более популярным день ото дня. И эта популярность привлекает не только благонамеренных пользователей, но и злоумышленников.
Некоторым из них удается неплохо нажиться. Причем киберпреступники вовсе не обязательно должны использовать уязвимости нулевого дня, идеально знать принципы работы протоколов криптовалюты и прочие вещи. Можно просто взять и подменить адрес кошелька, на который отправляются деньги во время Initial Coin Offering (первичное размещение токенов), или, сокращенно, ICO, на сайте жертвы. Компания Coindash заявила, что именно это и было сделано злоумышленниками с ее собственным сайтом, так что инвесторы этой организации после старта ICO один за другим отправляли свои средства на кошелек киберпреступников.
Пострадавшая компания представляет собой блокчейн-стартап. После того, как о проблеме стало известно, руководству Coindash пришлось остановить ICO, рассказав инвесторам о взломе своего сайта. За то время, пока на веб-сайте компании демонстрировался неправильный кошелек, злоумышленники смогли получить на свои счета более $7 млн. Сообщение о взломе было направлено руководством CoinDash всем инвесторам, также об этом сообщили в Twitter.
Всего за несколько минут переведено 43 тысячи эфиров. По курсу на 17 июля это как раз более $7 млн. Самое интересное то, что даже когда администрация Ethereum пометила этот кошелек, как фейковый (FAKE_CoinDash), инвесторы продолжали отправлять на него средства. В итоге злоумышленники собрали более $7,4 млн. Пока что идет расследование инцидента, но уже стало понятно, что ничем хорошим это не закончится. Уже сейчас компанию обвиняют в том, что взлом — вовсе не взлом, а целенаправленные действия ее руководства, направленные на незаконное обогащение. Ряд пострадавших пользователей сети заявили о намерении отправиться в суд.
Основная проблема, в общем-то, это отсутствие особых мер безопасности во время ICO. Размещать текстовую строку, от корректности информационного наполнения которой зависит, на правильный ли адрес отправятся миллионы долларов США — не самое лучшее решение. Всего нескольких минут хватило для того, чтобы злоумышленники получили основную сумму. Изначально предполагалось, что ICO компании Coindash пройдет гладко и без всяких проблем. Пока точно неизвестно, каким образом злоумышленники подменили текстовую строку на сайте, но вряд ли это был какой-то суперсложный способ — взломщики сайтов знают свое дело.
«Все, что мы знаем, так это то, что злоумышленник подменил адрес сразу после начала ICO», — говорит Рэм Эйвиссар, маркетинговый директор Coindash. Как уже говорилось выше, во взломе некоторые пользователи подозревают руководство компании, а не хакеров. Эту тему сейчас активно обсуждают на Reddit, выкладывая все новые и новые аргументы в пользу этой точки зрения. Даже те пользователи, кто не считает компанию виновной в обмане, утверждает, что деньги она вернуть обязана. «Я хочу получить свои деньги. Это ваш сайт, и вы виноваты в том, что не позаботились должным образом о своей безопасности», — заявил один из инвесторов, который отправил деньги на фальшивый кошелек. Еще один недовольный написал следующее: «Слишком поздно, я уже вложил средства! 31 тысяча эфиров отправилась по адресу! Вы ребята лучше верните мои деньги».
Этот взлом на данный момент является одним из крупнейших для компаний, имеющих дело с Ethereum. Еще более крупную сумму потерял в прошлом году инвестиционный фонд DAО. Тогда речь шла о целых $50 млн. Это привело к тому, что разработчики криптовалюты решили даже разделить платформу на две части для восстановления утраченных средств. Но большая часть пользователей системы посчитала, что это неоправданный риск и администрация решила не принимать кардинальных решений.
Несмотря на все сложности, позиции «эфира» сильны
Компания CoinDash уже заявила, что собирается вернуть средства своим вкладчикам: «Все инвесторы CoinDash получат свои токены назад. Мы работаем над разрешением ситуации». Заявление о том, что средства вкладчикам вернут, сделано. Вот только при этом никто не рассказал о том, как это планируется сделать. Те средства, которые ушли на кошельки злоумышленников, вряд ли удастся вернуть, так что либо компании придется платить из своего изрядно истончившегося кошелька, либо же возвращать средства всерьез никто не планирует.
Комментарии (39)
Barnaby
18.07.2017 03:09+7Что сказал Виталик? Ждем новый хардфорк?
Djeux
18.07.2017 08:40+2При чем тут виталик? С тем же успехом могли подменить и адрес биткоинов и любой другой валюты, результат был бы аналогичный.
rPman
18.07.2017 10:04+1DAO вспоминайте
Djeux
18.07.2017 13:22Я помню DAO, но там была бага в самом блокчейне, а не стороннем сайте который просто его использовал.
Тут получается что у меня сперли кошелек, но виноват в этом банк?maxpsyhos
18.07.2017 16:07+3Бага была не в самом блокчейне, а в контракте.
bogolt
18.07.2017 16:13Имхо бага в слишком низкоуровневом языке контрактов, который позволяет подобное совершать.
Djeux
18.07.2017 17:16Да, ошибся, бага была в контракте.
В любом случае ситуация кардинально отличается от простой подмены адреса на сайте.rPman
19.07.2017 10:11+1И чем отличается контракт от сайта? идеологически ничем — сторонний код, ошибки в нем — дело его владельца.
Про DAO — Это как если бы банк допустил у себя на сайте ошибку, которая приводит к потере денег клиентов, и для ее исправления разработчики браузеров сделали бы фикс уровня — если банк такой то запускать другой код.
Barnaby
18.07.2017 16:13+1бага в самом блокчейне
Разве не кривой контракт был? Виталик встал на сторону DAO и протолкнул форк, так бы не было никакого etc.
Rulin
19.07.2017 00:41+1бага в самом блокчейне
Это была не бага, а фича с помощью которой можно было сделать рекурсию, чем «злоумышленник» и воспользовался
mwizard
18.07.2017 04:06+13Снова форкнут, как пить дать.
Будет Ethereum (в котором DAO и Coindash не взламывали), Ethereum Classic (в котором не взламывали только DAO) и Ethereum Much Classic Very Wow (в котором у Виталика нет власти).Moon_Lobster
18.07.2017 13:04+1На сколько я понимаю в данной ситуации Ethereum не при чем, т.к ломанули сайт самого стартапа, соответственно и форка ждать не нужно, пока что)
r85qPZ1d3y
18.07.2017 05:34CoinDash сам ничего не воровал? Как минимум, закос под известный бренд криптовалюты — Dash, с которым его предполагалось путать, вот с этого надо было начинать, когда принимали вопрос вкладываться ли в стартап, или ну его…
ivan386
18.07.2017 09:24-1Если всё по чесному то надо было заранее раздать публичный ключь которым будет подписана страница с адресом кошелька. Так люди могли бы проверить что информация не верна.
MaximChistov
18.07.2017 09:52+2Еще более крупную сумму потерял в прошлом году инвестиционный фонд DAО. Тогда речь шла о целых $50 млн. Это привело к тому, что разработчики криптовалюты решили даже разделить платформу на две части для восстановления утраченных средств. Но большая часть пользователей системы посчитала, что это неоправданный риск и администрация решила не принимать кардинальных решений.
Вообще-то еще как приняла. Был хардфорк. В версии Ether все откатили, несогласные остались на версии Ether Classictechnomancer
18.07.2017 10:18+7Я вот этого не понимаю. Это что получается. Произошла фигня. И решением «совета директоров» или народного вече объявляется, что фигни не происходило. Кто считает, что фигня происходила — играют в свои игрушки и и писают в свой горшок. А если человек был в командировке/коме/запое?
— С тебя 20 тыщ рублей.
— У меня только 8. Есть ещё рубли Классик-2017, рубли Классик-2019. Возьмешь?
— Не, там мутных типов дофига, валюта есть?
— Евро NonBrexit?
— По курсу ЦБ возьму.openkazan
18.07.2017 10:49+1Мне эта ситуация вообще напоминает экономическую ситуацию во время гражданской войны в России.
Каждая «власть» выпускала свои деньги и объявляла их единственными легитимными.
Кредитный билет, бон, купон, Деникинские деньги, карбованцы и тд и тд и тд…Brenwen
18.07.2017 10:53+1Некоторые хитрее поступали — брали старые деньги и штамп на них ставили. Деньги без штампа — недействительны. Чем не хардфорк?
technomancer
18.07.2017 10:53Ага-ага!
«Царской Катенькой — сто рублей,
керенками — полтора метра…
советскими рублями — две тысячи
и пять тысяч расписками от самого батьки.»
r85qPZ1d3y
18.07.2017 12:44technomancer, всё правильно написал. Виталика — в отставку. В противном случае ни о какой децентрализации не может быть и речи, если один больной человек, или кучка людей со своими интересами решают вообще по всем этапам протокола какие изменения.
Вот человек, который позаимствовал $7,4 млн у хомячков, он наверняка в первые же часы все бабки через биржи в Dash, а там смиксует, и дальше по желанию или дополнительно через монеро, или через zCash или и то и другое. А через недельку виталя примет решение — хардфорку быть, и все средства у «негодяя» изымут.
PS: я вовсе не против хардфорка эфира, где откат будет заключаться в исключении витали с блокчейна.Anarions
18.07.2017 13:22+1Решение о хардфорке принимает сообщество вцелом. Если майнеры не пойдут майнить — хардфорк умрёт.
technomancer
18.07.2017 14:43Воу-воу-воу! Вот так вот скажешь, что на жаре молоко быстро киснет, глядь — с твоим портретом на знаменах уже бегут громить мэрию.
Я не призываю никого в отставку. Может даже хорошо, что кто-то там сидит, мониторит ситуацию и думает на опережение.
Но именно на опережение!
И смущает меня (в первую очередь) растущее количество не зависящих друг от друга платежных средств (все ведь ещё помнят, зачем криптовалюты вроде как придумывали?) никак друг с другом не связанных. Может запросто вылиться в электронный вариант натурального обмена: поменять полученный от клиента эфир на даш, даш отдать в обмен на биткоины, биткоинами заплатить за поход с сыном на хоккей. И это только три!
Криптовалюта — это просто цифры. Ими, в отличие от «бамажных» фантиков, даже костер растопить нельзя. И чем больше таких форков, тем выше вероятность, что однажды кто-то проснется с набором цифр на жестком диске, аналогичным по стоимости результату cat /dev/random.
Мне видится, что было бы разумно ИЛИ разрабатывать механизм отзыва, возврата средств, ИЛИ работать над защитой/верификацией таких вот публичных кошельков.
Первый вариант вроде как возвращение к тому же, от чего хотели избавиться.
А для второго очень полезен был бы тот самый единый авторитетный узел.r85qPZ1d3y
18.07.2017 14:53+2Добавлю. Крипта должна, и обязана быть независимой ни от кого.
Сегодня «киберпреступник» увел у кого то солидную сумму, и разработчики которые рулят криптовалютой, из справедливых чувств решили отобрать у кибержулика деньги. Завтра они посчитают справедливым отобрать деньги на сбор в фонд путина, или навального, кому как нравится. Такого быть не должно.
И отдельно для ICO можно запилить свой криптовалютный блокчей, где подобные фишки не будут прокатывать, но только для отдельного случая с ICO, и заранее уведомить, чтобы мы могли оперативно влошиться.
PS: я надеюсь мой посыл ясен, тот кто увел бабло — красавчик. Ему до сих пор бабло капает, и будет капать. А делать вред всем пользователям эфира из за того, чтобы облапошенное хомячье вернуло свои гроши, на мой взгляд это и есть несправедливо.
PPS: аверы, не забудьте в репу -, в карму тоже, и в комментах к профилю что нибудь про мамку мою написать.
vsb
18.07.2017 13:25Что значит «администрация Etherium пометила кошелёк, как фейковый»? А где гарантии, что они мой кошелёк не пометят, как фейковый? Хотелось бы побольше узнать, что за пометки такие.
MaximChistov
18.07.2017 13:29+2переводчик напутал
https://etherscan.io/address/0x6a164122d5cf7c840d26e829b46dcc4ed6c0ae48 — вот тут его так пометили
Tsimur_S
18.07.2017 16:27Еще более крупную сумму потерял в прошлом году инвестиционный фонд DAО. Тогда речь шла о целых $50 млн. Это привело к тому, что разработчики криптовалюты решили даже разделить платформу на две части для восстановления утраченных средств. Но большая часть пользователей системы посчитала, что это неоправданный риск и администрация решила не принимать кардинальных решений.
Разве это не привело к хардкфорку и появлению альтернативного блокчейна?
dostapn
19.07.2017 11:45Каждый раз заставляет улыбнуться событие рода «также об этом сообщили в Twitter».
StjarnornasFred
Вот вам и недостаток децентрализованных валют. Будь она централизованной — могли бы просто начислить пострадавшим монетки и ещё 10% сверху в качестве извинений.
Barnaby
Ну да, всегда можно напечатать еще. Фиат тоже воруют, только не так просто и очевидно.