Хакер смог вывести 8 млн. VeriCoin в результате взлома биржи MintPal

Криптовалютная биржа MintPal на днях пострадала от атаки злоумышленников, что привело к потере миллионов верикойнов из горячего кошелька сайта.
Атака, совершенная 13 июля, была нацелена на уязвимость в системе вывода сайта. Хакер, согласно официальному заявлению MintPal, сумел обойти системы внутреннего контроля и авторизовался для запроса на снятие средств, содержащихся в верикойн-кошельке.
Примечательно, что биткойн- и лайткойн-кошельки сайта также были целю атаки. Однако из-за существующих процедур холодного хранения MintPal для этих типов кошельков, пользователи, чьи средства хранились на этих кошельках, не пострадали.
Это результат того, что вопрос уязвимости горячего хранения был очень актуален для крупнейших бирж в этом году. Ярким примером того, как горячие кошельки могут стать причиной крупных взломов и потерь средств, конечно, является несуществующая ныне японская биржа Mt.Gox.
MintPal является биржей альтернативных цифровых валют, зарегистрированной в Великобритании, которая торгует биткойнами, лайткойнами и популярными альткойнами, такими как верикойн и дарккойн.
Взлом привел к потере примерно 8 миллионов верикойнов (VRC) или около 30% от общего объема существующих монет, как сказал член команды разработчиков верикойн.
Учитывая масштабы ущерба, команда разработчиков верикойн решили выполнить откат блокчейна монеты для того, чтобы «развернуть» незаконный перевод. Это было сделано для того, чтобы предотвратить потерю примерно двух миллионов долларов средств инвесторов и не допустить контроля мошенником 30% объема сети, что могло привести к дальнейшим злоупотреблениям в виде подписания незаконных транзакций.
Откат был завершен, новые кошельки теперь доступны для скачивания, сообщила команда разработчиков верикойн.
В своем заявлении команда MintPal обязалась возместить все убытки от взлома, в том числе от других бирж, затронутых этим инцидентом:

Самые большие последствия отката испытали биржи, которые приняли депозиты клиентов, а затем произвели сделки с этими депозитами. Мы преданы нашим клиентам и всем биржам, мы рассмотрим любые убытки, с которыми они столкнутся в результате отката.

Нападение произошло примерно в 7 часов утра по местному времени в Великобритании, с использованием SQL-инъекции для заявки на снятие средств с кошелька. Шесть часов спустя, команда разработчиков MintPal связалась с командой верикойн, после чего решение об откате блокчейна было обдумано и принято.
По словам MintPal, только верикойн-кошелек был затронут во время нападения. Это включает в себя базу данных, содержащую конфиденциальную информацию клиентов и пароли.
Компания заявила, что отказ от хранения верикойнов в холодном хранилище привело к уязвимости:

Мы настроили холодное хранение для VRC, однако в данном случае мы переместили туда гораздо меньше монет, чем требовалось, в результате чего большая часть монет осталась в горячем кошельке.

MintPalдобавили, что изменят некоторые аспекты в своей работе, чтобы добавить более строгие протоколы холодного хранения, а также практику ручной отмены выплат, пока система не будет очищена от уязвимостей.
Первоначальная попытка отката блокчейна для возврата украденных верикойнов была предпринята в течение нескольких часов после хакерской атаки, Это подразумевало воссоздание оригинальной цепочки блоков без вывода средств из MintPal.
Однако, по словам разработчика верикойн Патрика Носкера старые клиенты, которые по ошибке утвердили транзакцию, позволили хакеру получить 8 миллионов верикойнов.
Второй откат блокчейна был проведен 14 июля, операция, которая также включала создание транзакции, перемещающей 8 млн. VRCв новый кошелек. В результате блоки, содержащие незаконный перевод, опустели и остались не принятыми сетью.
Носкер сказал, что такой шаг был необходим для защиты инвесторов. Тем не менее, он признал, что имели место быть споры и разочарование среди пострадавших, говоря:

Сообщество разделилось. Одни думают, что мы хорошие ребята и правильно сделали, что помогли пользователям вернуть украденные монеты. Другие думают, что мы плохие и злоупотребили своими полномочиями разработчиков для изменения блокчейна. Мы считаем, что лучше потерять монет на сумму в 4000 долларов (сумма всех транзакций в промежуток между атакой и откатом), чем лишиться навсегда украденных верикойнов на сумму более двух миллионов долларов.

Он добавил: «Мы также не хотели бы, чтоб один единственный пользователь мог воспользоваться положением и реализовать так называемую атаку 51%».
На текущий момент MintPal еще не восстановили торговые операции по верикойну. Тем не менее, один из администраторов сайта отметил, что в центре внимания сейчас находится выявление клиентов, понесших потери в результате инцидента.


https://coinspot.ru/altcoins/haker-smog-vyvesti-8-mln-vericoin-v-rezultate-vzloma-birzhi-mintpal/