Die digitale Geldwechselplattform MintPal hat einen erfolgreichen Hackerangriff erlitten, bei dem Millionen von Vericoins aus der heißen Brieftasche verloren gingen.

Der Angriff vom 13. Juli zielte auf eine Schwachstelle im Entnahmesystem der Website ab. Der Hacker war laut einer offiziellen Erklärung von MintPal in der Lage, interne Kontrollen zu umgehen und einen Auszahlungsantrag für den Inhalt der vericoin Wallet zu genehmigen.

Bemerkenswerterweise wurden die Bitcoin- und Litecoin-Portemonnaies der Site auch von denjenigen angegriffen, die hinter dem Angriff standen. Aufgrund der bestehenden Kühllagerverfahren von MintPal für diese Geldbörsen wurden Benutzerbilanzen während des Vorfalls jedoch nicht beeinträchtigt.

Dieses Ergebnis ist möglicherweise ermutigend, da Hot-Wallet-Schwachstellen in diesem Jahr ein hartnäckiges Problem unter den wichtigsten Bitcoin-Börsen gewesen sind, mit der nicht mehr existierenden Bitcoin-Börse in Japan. Gox bietet vielleicht das bemerkenswerteste Beispiel dafür, wie vernetzte Geldbörsen von Hackern angegriffen werden können.

MintPal ist eine alternative digitale Wechselstube, die in Großbritannien registriert ist und Bitcoin, Litecoin und beliebte alternative Währungen wie Vericoin und Darkcoin handelt.

Vericoins umstrittene Antwort

Der Bruch führte zum Verlust von ungefähr 8 Millionen Vericoins (VRC) oder ungefähr 30% der gesamten vorhandenen Münzen, sagte ein Mitglied des Vericoin-Entwicklungsteams gegenüber CoinDesk.

Angesichts des Ausmaßes des Schadens entschied sich das Vericoin-Entwicklerteam dafür, die Blockkette der Münze hart zu forchen, um die Diebstahltransaktion rückgängig zu machen. Dies wurde durchgeführt, um den Verlust von etwa 2 Millionen Dollar an Anlegergeldern zu verhindern und einen betrügerischen Schauspieler daran zu hindern, 30 Prozent der Proof-of-Stake-Netzwerkkapazität der Münze zu halten.

Die Gabel ist jetzt fertig, und neue Brieftaschen sind jetzt zum Download verfügbar, teilte das Vericoin-Entwicklerteam CoinDesk mit.

In einer Erklärung verpflichtete sich das MintPal-Team, alle Verluste aus dem Angriff wieder einzubringen, einschließlich jener von anderen Börsen, die von der Veranstaltung betroffen waren, und sagte:

"Die größte Auswirkung des Rollbacks ist auf die verschiedenen Börsen, die haben Wir haben unseren Kunden und allen Börsen zugesichert, dass wir alle Verluste abdecken werden, die durch den Rollback entstehen. "

CoinDesk hat MintPal zur Stellungnahme kontaktiert, hat dies aber nicht getan erhielt eine sofortige Antwort.

Anatomie eines Tauschangriffs

Der Angriff fand gegen 7:00 Uhr BST statt und verwendete eine SQL-Injektion, um die Walletentnahme zu initialisieren. Sechs Stunden später nahm das Entwicklungsteam von MintPal Kontakt mit dem Vericoin-Team auf. Nach dieser Zeit wurde eine Lösung - letztendlich eine harte Gabel - gesucht und erreicht.

Laut MintPal war während des Angriffs nur die Vericoin Wallet betroffen.Dies beinhaltet die Datenbank mit sensiblen Kundeninformationen und Passwörtern.

Das Unternehmen gab an, dass ein Fehler bei der Sicherung von Kunden-Vericoin-Salden im Kühllager zu der Sicherheitsanfälligkeit führte, nämlich:

"Wir hatten einen Kaltspeicher-Setup für VRC, jedoch in diesem Fall aufgrund eines Fehlers, für den nur wir Wir haben viel weniger Münzen als nötig transferiert, was dazu führte, dass ein großer Teil der Münzen in der heißen Brieftasche zurückblieb. "

MintPal fügte hinzu, dass die Verfahren des Unternehmens geändert wurden, um strengere Kältespeicherprotokolle aufzunehmen die Einrichtung manueller Auslieferungsfreigaben, bis das System für alle Schwachstellen freigegeben wurde.

Gestohlene Münzen zurückgegeben

Ein erster Versuch, die Blockkette zurückzusetzen, um den Diebstahl von Vericoin umzukehren, wurde in den Stunden nach dem Angriff gestartet, bei dem die ursprüngliche Blockkette ohne den Rückzug aus MintPal wiederhergestellt wurde.

Laut vericoin-Entwickler Patrick Nosker führten ältere Clients, die die Transaktion ausstrahlten, dazu, dass das Netzwerk fälschlicherweise die Genehmigung erteilte, wodurch der Hacker die 8-m-VRC empfangen konnte.

Am 14. Juli wurde eine zweite Hard-Fork durchgeführt, eine Operation, die auch die Erstellung einer Transaktion beinhaltete, bei der die 8-m-VRC an einen neuen Wallet-Standort verschoben wurde. Als Ergebnis wurden Blöcke, die die Diebstahltransaktionen enthielten, verwaist und blieben vom Netzwerk nicht akzeptiert.

Nosker sagte gegenüber CoinDesk, dass der Schritt notwendig sei, um Investoren zu schützen. Er räumte jedoch die Kontroverse hinter dem Umzug und die Frustration unter den Betroffenen ein und sagte:

"Die Gemeinschaft ist klar gespalten. Einige denken, wir sind gute Leute, um den Benutzern zu helfen, ihre gestohlene Münze zu behalten. Andere denken, dass wir schlecht sind, unsere Dev-Rechte zu missbrauchen, um die Blockchain zu verändern. Wir glauben, dass wir im Recht sind, da weniger als $ 4,000 VRC zwischen der Diebstahlszeit und der harten Gabelung geschickt wurden, während über $ 2 Millionen von VRC sonst gesendet worden wären. "

Er fügte hinzu:" Wir haben auch nicht Ich möchte eine Person mit der Fähigkeit zu 51% attackieren. "

Zur Zeit der Drucklegung hat MintPal seinen Vericoin-Markt noch nicht reaktiviert. Einer der Admins der Site bemerkte jedoch, dass der Fokus nun darauf liegt, Kunden zu identifizieren, die Verluste erlitten haben 999> Hacker-Image über Shutterstock