Kolejny atak na serwis obsługujący bitcoina: tym razem ofiarą padł www.bitstamp.net. Serwis ten uchodził za bardzo profesjonalny i bezpieczny. Sprawę analizuje portal zaufanatrzeciastrona.pl:
Symptomy sugerują, że z powodu niedostatecznie losowego generatora liczb losowych mogło dojść do skutecznych prób odgadnięcia kluczy prywatnych portfeli depozytowych. Podobny atak miał miejsce kilka tygodni temu na serwis Blockchain, gdzie tajemniczy bohater wykorzystał błąd serwisu do zabezpieczenia ponad 800 BTC z cudzych kont, które następnie zwrócił ich właścicielom. Ten niezwykle rzadki przypadek altruistycznego włamywacza mógł stanowić inspirację dla innych nie tak uczciwych użytkowników. […]
Możliwe, że straty serwisu sięgają prawie 19 tysięcy BTC. Skąd wiadomo, że to nie Bitstamp przelewał swoje środki w bezpieczne miejsce? Transakcje miały miejsce kilkanaście godzin przed komunikatem o kradzieży, a dodatkowo niektóre podejrzane transakcje oferowały opłaty dla sieci w wysokości 1 BTC co może oznaczać, że komuś bardzo zależało na jak najszybszym potwierdzeniu transakcji. To zachowanie charakterystyczne dla włamywacza, który nie jest pewien, czy ktoś mu lada moment nie przeszkodzi.
Kradzież niecałych 19 tys BTC (obacna wartość rynkowa to około 5 mln dolarów) potwierdził prezes Bitstampa Nejc Kodrič. Zapewnił jednocześnie, że firma wyrówna straty wszystkim poszkodowanym! Posiada bowiem o wiele większe rezerwy BTC, przechowywane w bezpiecznych systemach składowania offline (ang. cold storage).
To wydarzenie ma wiele ciekawych aspektów:
1. Zachowanie firmy może sprawić, że obecna katastrofa wyjdzie jej na dobre. Wzrośnie zarówno bezpieczeństwo jak i zaufanie.
2. Obrót bitcoinem rozwija się w podobnym kierunku jak tradycyjne instytucje finansowe (duży może więcej).
3. Anonimowość transakcji BTC sprawia, że przepływ skradzionej waluty jest łatwiej ukryć. Utrudnia to wykrycie sprawców.
4. Ciekawym zagadnieniem jest zaangażowanie organów ścigania w sprawie kradzieży pozasystemowej waluty. Bezpieczeństwo obrotu tradycyjnymi walutami zapewniają państwa, które są jednocześnie emitentem (czyli stroną zainteresowaną w bezpieczeństwie). W tym wypadku mamy do czynienia z walutą alternatywną. Co prawda kradzież pozostaje kradzieżą, ale determinacja policji w tropienie sprawcy może nie być zadowalająca.
5. Ostatnie głośne włamania sprawiają, że można odnieść wrażenie, że żaden serwis nie jest bezpieczny. Sytuacja jest jednak bardziej złożona. Po pierwsze bezpieczeństwo kosztuje. Jeśli dostawca serwisu na nim nie oszczędza i zachowuje wszystkie reguły dobrej polityki bezpieczeństwa, prawdopodobieństwo włamania jest niewielkie. Po trzeba sobie zdawać sprawę z tego, że próby włamania do praktycznie każdego serwisu trwają nieustannie. Ofiarą padają te, w których włamywacze natrafią na luki bezpieczeństwa. Nie jest więc tak, że każdy upatrzony przez włamywaczy serwis prędzej czy później udaje się złamać. Po trzecie wreszcie - im większa część serwisu zależy od transakcji w sieci - tym bardziej jest on narażony na włamanie z wykorzystaniem błędów niezawinionych (znalezionych luk w programach). Czyli na przykład włamanie do Sony Pictures to bardziej kwestia odpowiednich procedur bezpieczeństwa (lub raczej ich braku).