Kako je potekal milijonski vdor v Bitstamp

Na splet je pricurljalo interno poročilo o vdoru v Bitstamp, ki so ga pripravili po preiskavi januarskega vdora v njihovo stran, s katerim so zlikovci uspeli izmakniti 18.866 bitcoinov, ki so bili po tedanjem tečaju vredni skoraj pet milijonov evrov. Analiza je pokazala, da je šlo za zelo dobro organiziran in premišljen napad.

Bitcoine so ukradli 4. januarja letos, a sam napad se je pričel že mesece prej. Tistega dne ob 24.00 uri po slovenskem času je tehnični direktor Bitstampa Damian Merlak odkril izgubo in takoj sprožil postopke za odziv v kritičnih situacijah. Hitro so ugotovili, da je že 29. decembra s strežnikov na neznan nemški naslov potovala 3,5 GB velika datoteka, kar je sprožilo vse alarme. Toliko namreč meri denarnica (wallet.dat), v kateri ima Bitstamp bitcoine za zagotavljanje likvidnosti (hot storage). Videli so, da je nekaj hudo hudo narobe. Začel se je boj s časom.

Najprej je bilo treba sisteme ugasniti, saj bi lahko imel napadalec še vedno dostop do njih. Bitcoini v ukradeni denarnici so bili izgubljeni, saj jo je lahko napadalec praznil brez povezave z Bitstampom, ko je imel svojo kopijo. Zato je izguba znašala 18.866 bitcoinov, čeprav nikoli v njej ni bilo več 5000 bitcoinov. Ko so komitenti nakazovali bitcoine, jih je napadalec do odkritja sproti kradel.

Napad je bil zelo dobro organiziran in premišljen, a ponovno se je izkazalo, da je najšibkejša točka v vsakem sistemu človek. Napadalci so se lotili zaposlenih pri Bitstampu in jim prek Skypa poslali okužene Wordove dokumente. Tu ni šlo za čisto naivnost, saj so raziskali vsakega posebej in ga kontaktirali v zvezi s stvarmi, za katere so vedeli, da ga zanimajo. Po tekstovni izmenjavi so nekatere uspeli prepričati v sprejetje in odprtje okužene datoteke, drugih pa ne.

Sistemski administrator Luka Kodrič je bil med njimi. Že 9. decembra je prejel elektronsko sporočilo, ki je navidezno izviralo iz Association for Computing Machinery in ga je vabilo k včlanitvi v Upsilon Pi Epsilon. To je dejansko društvo, ki obstaja. Ko je odprl datoteko, v kateri naj bi bil prijavni formular, je zlonamerna VBA-skripta okužila njegov računalnik. Za razliko od ostalih uporabnikov je Kodrič imel dostop do glavnih strežnikov.

Potrebovali so le dostop do dveh – LNXSRVBTC in DORNATA. Prvi je imel denarnico, drugo geslo zanjo. Dne 29. decembra so dostopili do strežnikov in ker so to počeli z znanega IP-ja (prek Kodričevega prenosnika), sistem ni zahteval dvostopenjskega dokazovanja pristnosti. Od tedaj je bila velika tatvina le še vprašanje časa.

Bitstamp je incident obravnaval profesionalno. Takoj so ugasnili platformo, stranke obvestili o vdoru in prepovedi nadaljnjih pologov, na pomoč pa jim je priskočilo podjetje Stroz Friedberg, ki je preiskalo vdor. Sodelovali so tudi z organi pregona ter podjetji, ki so jim pomagala postaviti povsem svežo kopijo sistema na novi strojni in programski opremi na oddaljeni lokaciji. Tako je šest dni po vdoru (10. januarja) sistem ponovno zaživel, hkrati pa so borzi dodali nekatere funkcije za večjo varnost, med drugim multi-sig (obvezno podpisovanje transakcij s strani več ljudi).

Bitstamp je sicer utrpel šest milijonov evrov škode (tatvina, izpad prihodka, stroški nove opreme, stroški preiskave …), njegovi komitenti pa nič. In to je pomembno, čeprav so nekaj strank vseeno izgubili, priznavajo.