Όπως σημειώνει και το
Fortune,
πρόκειται
για μια από τις μεγαλύτερες
ληστείες στην ιστορία,
με το ανταλλακτήριο να
χάνει περίπου 523
εκατομμύρια νομίσματα
NEM. Προφανώς, η
συγκεκριμένη τεραστίων
διαστάσεων παραβίαση
έχει πυκνώσει τα
ερωτήματα γύρω από την
ασφάλεια των
κρυπτονομισμάτων
παγκοσμίως.
Η Coincheck δεν
αποκάλυψε με ποιο τρόπο
παραβιάστηκε το σύστημά
της αλλά περιορίστηκε
στο να πει ότι η
δουλειά δεν έγινε «από
μέσα».
Πάντως, η εταιρεία είχε
ένα γνωστό κενό
ασφαλείας που
επέτρεψε στους κλέφτες
να φύγουν με ένα τόσο
μεγάλο ποσό.
Συγκεκριμένα, διατηρούσε
τα περιουσιακά στοιχεία
των πελατών της σε ένα «θερμό»
πορτοφόλι, όπως
ονομάζεται, το οποίο
είναι συνδεδεμένο με
εξωτερικά δίκτυα.
Γενικά, τα ανταλλακτήρια
προσπαθούν να διατηρούν
την πλειοψηφία των
καταθέσεων των πελατών
τους σε «ψυχρά» πορτοφόλια,
τα οποία δεν συνδέονται
με τον εξωτερικό κόσμο
και άρα είναι λιγότερο
εκτεθειμένα σε πιθανές
παραβιάσεις.
Επιπλέον, η Coincheck
δεν διέθετε ασφάλεια
multi-signature – ένα
μέτρο που απαιτεί
πολλαπλές υπογραφές
προτού μεταφερθούν
χρήματα.
Η πιο περίεργη πτυχή της
υπόθεσης είναι το πού
ακριβώς πήγαν τα
κλεμμένα νομίσματα.
Επειδή όλες οι
συναλλαγές σε bitcoin και
άλλα κρυπτονομίσματα
είναι δημόσιες, είναι
εύκολο να δεις πού
βρίσκονται τα νομίσματα NEM,
κι ας είναι κλεμμένα.
Η Coincheck εντόπισε και
δημοσιοποίησε 11
διευθύνσεις όπου
κατέληξαν και τα 523
εκατομμύρια κλεμμένα
νομίσματα. Το πρόβλημα
είναι ότι κανένας δεν
γνωρίζει ποιος κατέχει
τους συγκεκριμένους
λογαριασμούς. Σε κάθε
περίπτωση, οι developers
της ΝΕΜ ανέπτυξαν ένα
εργαλείο παρακολούθησης
που επιτρέπει σε
ανταλλακτήρια να
απορρίπτουν αυτομάτως τα
κλεμμένα χρήματα.
Σημαίνει αυτό ότι οι
χάκερ δεν θα μπορέσουν
να εξαργυρώσουν τη λεία
τους; Δεν είναι σίγουρο.
Οι κλέφτες ίσως
προσπαθήσουν να
χρησιμοποιήσουν μια
υπηρεσία σαν τη
ShapeShift, η οποία
προσφέρει αγοραπωλησίες
κρυπτονομισμάτων χωρίς
τη συλλογή προσωπικών
δεδομένων.
Η μετατροπή των
νομισμάτων ΝΕΜ σε ένα
πιο «ανώνυμο» νόμισμα,
όπως το Monero, θα
μπορούσε να οδηγήσει στο
«ξέπλυμα» των κλοπιμαίων.
Η ShapeShift, πάντως,
είπε ότι έχει ήδη
μπλοκάρει διευθύνσεις
που συνδέονται με την
παραβίαση. |