Bitcoin, криминальные хроники: Bitfloor PWND!

В продожение темы взлома Bitcoin-бирж.

Ночью c 4 на 5 сентября ещё одна биржа пала жертвой хакеров. На этот раз объектом атаки стала биржа Bitfloor ^[1] (биржа № 4 по объёму в долларах США), которой владеет американец российского происхождения ^[2] Роман Штильман. Злоумышленникам досталось 24,000 BTC что по текущему курсу составляет около 250 тысяч долларов США.
Как всегда, история взлома довольно загадочна.
31 августа появился неприметный топик ^[3] о том, что Bitfloor в дауне. Официальный комментарий Романа, — «Не волнуйтесь, всё окей, просто в датацентре выключали электроэнергию (?! а как же резервные источники)», -и уверения всех в том, что с безопасностью проблем нет.
“All funds are secure and things should be operating normally soon.”

Здесь-то и начались подозрительные вещи. Некоторые пользователи биржи получили следующее уведомление:
“...there may have been some recent unauthorized activity which may have compromised the security of your api key.”. Заметим, это было 31 августа.

А ночью 4-го сентября произошло то, что уже всем известно. И снова причиной несчастья стало пренебрежение элементарными нормами информационной безопасности. Детали в изложении Романа выглядят очень просто:
Файл кошелька хранился на зашифрованном разделе диска, а вот бэкапы этих файлов, которые он сделал вручную при очередном обновлении, хранились в нешифрованном виде (facepalm).
Ещё более сильный facepalm вызывает то, что ВСЕ биткойны хранились непосредственно в “горячем” кошельке, а оффлайновый “холодный” кошелёк не использовался.
Радует то, что нетронутыми остались запасы в долларах США.

Сторонники теории заговоров пошли дальше и в результате несложных поисков выясняются некоторые ещё более странные подробности:

webcache.googleusercontent.com/search?q=cache ^[4]:UYt4pj002acJ:https://bitfloor.com/about+&cd=1&hl=en&ct=clnk&gl=us — сохраненная версия контактных данных с сайта bitfloor.com
buybitcoin.com/home/contact/ ^[5] — контактные данные практически неизвестной биржи, которой владеет человек с сомнительной репутацией по имени Bruce.

Эти данные — соседние почтовые ящики, и телефонные номера с одним и тем же префиксом (1-646-580-XXXX), предоставляемые одной и той же маленькой компанией BandWidth.com. Учитывая, что префиксов в коде 646 сотни, а компания BandWidth.com владеет только 17-ю…

Подозрительно, но не более того, никаких более доказательств о причастности Bruce к имитации взлома нет и эти совпадения остаются лишь дополнительными загадками.

Ссылки:
yro.slashdot.org/story/12/09/05/1238214/bitfloor-joins-list-of-compromised-bitcoin-exchanges ^[6]
paritynews.com/security/item/266-bitcoin-exchange-bitfloor-shut-down-after-attacker-steals-24000-btc ^[7]
bitcointalk.org/index.php?topic=105818.0 ^[8] — Роман взывает пользователей помочь определится с дальнейшей судьбой биржи.

Проследить «последний путь» украденых денег можно по ссылкам.

blockchain.info/tx/83f3c30dc4fa25afe57b85651b9bbc372e8789d81b08d6966ea81f524e0a02be ^[9] — 16,120 BTC
blockchain.info/tx/d5d23a05858236c379d2aa30886b97600506933bc46c6f2aab2e05da85e61ad2 ^[10] — 1,000 BTC
blockchain.info/tx/f9d55dc4b8af65e15f856496335a29e2be40f128a7374c75b75529e864579f93 ^[11] — 6,400 BTC
blockchain.info/tx/42ea472060118ee5aee801cdedbc4a3403f3708a87340660f766e2669f0afeb0 ^[12] — 60 BTC
blockchain.info/tx/358c873892016649ace8e9db4c59f98a6ca8165287ac80e80c52e621f5a26e46 ^[13] — 498.39 BTC

Автор: Jeditobe