Криптоплатформу Bitfinex взломали из-за нарушения стандартов безопасности

26.05.2023, 00:05 1648 0

Bitfinex не применяла средства операционного, финансового и технологического контроля, которые ей предлагал партнер по цифровой безопасности. Об этом свидетельствует отчет, который получили репортеры. В результате взлома преступники похитили около 119 биткойнов.

В августе 2016 года киберпреступники взломали криптовалютную биржу Bitfinex. Всего за три часа они вывели с биржи порядка 119 тысяч биткойнов — тогда стоимость криптовалюты составила порядка 71 миллиона долларов.

Хакеров так и не нашли, но в 2022 году власти арестовали пару американцев за отмывание украденных биткойнов — на тот момент стоимость криптовалюты выросла уже до 4,5 миллиарда долларов. После взлома провели расследование, которое выявило уязвимости в безопасности систем Bitfinex.

OCCRP получил конфиденциальный отчет о взломе: его подготовила канадская консалтинговая фирма Ledger Labs по заказу компании iFinex, одного из владельцев Bitfinex. В отчете говорится, что Bitfinex не применяла средства операционного, финансового и технологического контроля, которые ей предлагал Bitgo, партнер компании по цифровой безопасности.

OCCRP не смог независимо проверить факты, указанные в отчете, но в общении с журналистами представители Bitfinex не отрицали его достоверность. В Bitgo отказались давать комментарии, но не стали отрицать существование отчета или его выводы. В Ledger Labs на запрос о комментариях не ответили, а автор отчета Майкл Перклин сказал, что не может давать комментарии, поскольку подписал договор о неразглашении.

Безопасность криптовалютных платформ имеет решающее значение, поскольку из-за ошибок клиенты могут потерять деньги.

«Когда вы имеете дело с интернетом денег, ставки особенно высоки, — сказал Хью Брукс, директор службы безопасности в компании CertiK, которая специализируется на безопасности блокчейна. — Если вас взломают или вы ошибетесь, в утечке будут не просто имена пользователей и пароли, а чьи-то сбережения и, возможно, колоссальные деньги».

В отчете Ledger Labs сказано, что в Bitfinex действует система, которая требует наличия двух из трех ключей безопасности для любых важных операций на бирже, включая перечисление биткойнов.

Но выяснилось, что на бирже допустили критическую ошибку, сохранив два из трех ключей на одном устройстве. Взлом устройства дал бы злоумышленнику полный доступ к внутренним системам Bitfinex и токенам безопасности. «Хакер мог получить два… токена безопасности», — говорится в отчете, и менее чем за минуту повысить дневной лимит на количество транзакций, чтобы вывести как можно больше биткойнов.

В отчете Ledger Labs сказано, что эти токены были связаны с общим адресом электронной почты “admin” и адресом “giancarlo”, принадлежащим финдиректору и акционеру Bitfinex Джанкарло Девасини, бывшему итальянскому пластическому хирургу с неоднозначным прошлым. В отчете, однако, не сказано, что во взломе виноват именно Девасини.

Джанкарло Девасини не ответил на многочисленные запросы о комментарии.

В документе указано, что хранение нескольких ключей и токенов на одном устройстве «нарушает стандарты безопасности криптовалюты» (Cryptocurrency Security Standard, CCSS). Однако неясно, что именно привело к взлому. Согласно отчету, в Bitfinex отсутствовали и другие базовые меры безопасности, в том числе регистрация активности сервера за пределами самого сервера и «белый список» для вывода средств — функция, которая разрешает выводить криптовалюту только на проверенные или одобренные адреса.

В отчете Ledger Labs сказано, что, судя по исходным IP-адресам, взлом могли совершить в Польше.

Представители Bitfinex сказали OCCRP, что отчет «неполный» и «неточный», и есть «доказательства халатности… со стороны других контрагентов, которые привели к взлому».

Карен Гринуэй, бывший старший спецагент ФБР, которая специализируется на борьбе с отмыванием денег, негативно оценила реакцию Bitfinex на взлом.

Новости по теме: Connection with the President of Uzbekistan and the withdrawal of Russian money: What is hidden behind the activities of Octobank?

«[Криптобиржа Bitfinex] не представила [общедоступный] отчет, не взяла на себя ответственность и не устранила сбои в системе безопасности, которые привели к взлому. Это говорит больше, чем любое признание или опровержение с их стороны», — сказала Гринуэй.

Хакеров так и не нашли, но в 2022 году американские следователи арестовали Илью Лихтенштейна (у него двойное гражданство — США и России) и его супругу Хизер Морган по подозрению в отмывании украденных биткойнов. Оба заявили, что невиновны; сейчас они ждут судебного разбирательства.

Лихтенштейн называет себя предпринимателем в сфере технологий и инвестором, он разработал несколько небольших приложений. Морган, экономист по образованию, писала статьи для Forbes.com и была гендиректором некоторых технических проектов Лихтенштейна. У Морган пестрое прошлое: например, она читала рэп под псевдонимом Razzlekhan. Однако следователи заметили, что Морган использовала свое настоящее имя, когда делала покупки в интернете на украденную криптовалюту.

Под кроватью супругов в их нью-йоркской квартире нашли одноразовые телефоны, сим-карты и различные гаджеты. Также спецагенты получили доступ к данным в онлайн-аккаунте Лихтенштейна, где хранились ключи доступа к криптокошельку с биткойнами: на момент изъятия их стоимость составляла 3,6 миллиарда долларов. Власти США назвали это крупнейшей конфискацией криптовалюты в истории США, однако хакер, взломавший биржу, по-прежнему на свободе.

Недостатки систем безопасности Bitfinex должны насторожить весь криптомир, поскольку компании iFinex, владеющей биржей, также принадлежит самый популярный стейблкойн Tether. Стейблкойн — это криптовалюта, котировка которой привязана к реальной валюте, финансовому инструменту или, например, золоту. Tether привязан к доллару, и в обращении находятся токены Tether (они еще называются USDT) на сумму 82 миллиарда долларов. Безопасность валюты имеет решающее значение: стейблкойны предназначены для стабилизации курса других криптовалют, которые отличаются повышенной волатильностью, и помогают закрепить обменный курс этих валют, как это делает центральный банк с фиатными деньгами.

Взломы и сбои криптовалютных бирж угрожают стабильности любой криптовалюты: взлом Bitfinex привел к падению стоимости биткойна на 20 процентов. А еще один недавний громкий скандал был связан с онлайн-платформой FTX.

occrp.org