5 крупнейших краж криптовалют

5. Tether, 30,9 млн долларов, 19 ноября 2017 года

В Tether ста­ви­ли целью объ­еди­нить тех­но­ло­гии блок­чей­на и фи­ат­ных денег, со­здав циф­ро­вую ва­лю­ту под на­зва­ни­ем «то­ке­ны США» (USDT) — их можно было ис­поль­зо­вать для тор­гов­ли ре­аль­ны­ми то­ва­ра­ми с по­мо­щью бит­ко­и­на, лайт­ко­и­на и эфира. Внося на свой счет в Tether $1, поль­зо­ва­тель по­лу­чал 1 USDT, ко­то­рый можно было кон­вер­ти­ро­вать об­рат­но в твер­дую на­лич­ность. 19 но­яб­ря 2017 года зло­умыш­лен­ник по­лу­чил до­ступ к ос­нов­но­му «каз­на­чей­ско­му» ко­шель­ку Tether и снял от­ту­да то­ке­нов на 30,9 млн дол­ла­ров. Для тран­зак­ции он ис­поль­зо­вал бит­ко­ин-ад­рес, а зна­чит, она была необ­ра­ти­мой.

Последствия

До этого взло­ма Tether кри­ти­ко­ва­ли за связи с Bitfinex — бир­жей, по­те­ряв­шей много денег ин­ве­сто­ров. Зву­ча­ли очень се­рьез­ные об­ви­не­ния, вплоть до того, что Bitinfex ис­поль­зо­вал ак­ти­вы Tether для мо­шен­ни­че­ских дей­ствий. Чтобы ис­пра­вить си­ту­а­цию, в Tether при­ня­ли меры, бла­го­да­ря ко­то­рым зло­умыш­лен­ник не смог вы­ве­сти укра­ден­ные день­ги в обыч­ную ва­лю­ту или бит­ко­ин, но на­чав­ша­я­ся па­ни­ка при­ве­ла к сни­же­нию сто­и­мо­сти бит­ко­и­на.

4. Ethereum, 31 млн долларов, 20 июля 2017 года

Сеть Ethereum была за­пу­ще­на в 2014 году, при­мер­но через 5 лет после бит­ко­и­на, и стала вто­рой по ка­пи­та­ли­за­ции циф­ро­вой ва­лю­той. В пол­день 20 июля хакер пе­ре­вел 153 037 эфи­ров на 31 млн дол­ла­ров из трех очень круп­ных ко­шель­ков, при­над­ле­жав­ших Swarm City, Edgeless Casino и Eternity. Неиз­вест­но­му мо­шен­ни­ку уда­лось из­ме­нить при­над­леж­ность ко­шель­ков, вос­поль­зо­вав­шись уяз­ви­мо­стью с мно­же­ствен­ной под­пи­сью.

Последствия

Од­ни­ми из пер­вых кражу за­ме­ти­ли раз­ра­бот­чи­ки из Swarm City. Они быст­ро уве­до­ми­ли раз­ра­бот­чи­ков Ethereum, ко­то­рые об­ра­ти­лись к «белым ха­ке­рам» за по­мо­щью в воз­мож­ном вос­ста­нов­ле­нии денег. Даль­ней­шие со­бы­тия за­слу­жи­ва­ют места в ис­то­рии: «белые ха­ке­ры» вер­ну­ли укра­ден­ные сред­ства, после чего за­щи­ти­ли дру­гие ском­про­ме­ти­ро­ван­ные ак­ка­ун­ты. Они дей­ство­ва­ли так же, как пре­ступ­ни­ки, то есть укра­ли сред­ства из под­вер­жен­ных уяз­ви­мо­сти ко­шель­ков — про­сто не для себя. И все это про­изо­шло менее чем за день.

3. NiceHash, 4736,42 BTC, 6 декабря 2017 года

NiceHash — это сло­вен­ская ком­па­ния, ко­то­рая по­мо­га­ет май­не­рам крип­то­ва­лют по­ку­пать и про­да­вать вы­чис­ли­тель­ные мощ­но­сти. Тран­зак­ции вы­пол­ня­ют­ся в бит­ко­и­нах (Bitcoin). Май­не­ры пла­тят по­сте­пен­но, без аван­со­вых пла­те­жей, так что боль­ших рис­ков у них нет. Про­дав­цы также по­лу­ча­ют плату в бит­ко­и­нах. 6 де­каб­ря сер­ве­ры ком­па­нии стали объ­ек­том атаки. Сна­ча­ла поль­зо­ва­те­ли Reddit со­об­щи­ли, что они не могут по­лу­чить до­ступ к своим сред­ствам и со­вер­шать тран­зак­ции — когда они пы­та­лись войти в си­сте­му, им по­ка­зы­ва­лось со­об­ще­ние о пе­ре­ры­ве на об­слу­жи­ва­ние сер­ви­са. В итоге стало из­вест­но, что сер­вис под­верг­ся мас­штаб­ной ки­бе­р­ата­ке, в ходе ко­то­рой был взло­ман ко­ше­лек с 4736,42 бит­ко­и­на­ми, ко­то­рые бес­след­но про­па­ли.

Последствия

Как и в слу­чае с боль­шин­ством укра­ден­ных бит­ко­и­нов, эти день­ги, ве­ро­ят­но, ни­ко­гда не вер­нут­ся к вла­дель­цам. Тем не менее, несмот­ря на боль­шие по­те­ри, NiceHash смог про­дол­жить ра­бо­ту, но ге­не­раль­ный ди­рек­тор и ос­но­ва­тель Марко Ко­баль подал в от­став­ку, усту­пив место новой ко­ман­де. Ком­па­ния су­ме­ла со­хра­нить до­ве­рие ин­ве­сто­ров и за­ня­лась укреп­ле­ни­ем за­щи­ты своих си­стем.

2. Bitfinex, 119 756 BTC, 4 августа 2016 года

В 2016 году Bitfinex была круп­ней­шей в мире бит­ко­ин-бир­жей (позже ее обо­гна­ла ANX). 4 ав­гу­ста неиз­вест­ные люди по­хи­ти­ли около 119 756 бит­ко­и­нов со сче­тов кли­ен­тов, несмот­ря на несколь­ко уров­ней за­щи­ты. Позже стало из­вест­но, что пе­ре­ве­сти сред­ства поз­во­ли­ла уяз­ви­мость мно­же­ствен­ной под­пи­си. Вот как это устро­е­но: у Bitfinex есть 2 ключа, а у дру­гой блок­чейн-ком­па­нии, BitGo, тре­тий ключ, и вме­сте эти ключи поз­во­ля­ют со­вер­шить пе­ре­вод бит­ко­и­нов (или дру­гой крип­то­ва­лю­ты). Тогда были пред­по­ло­же­ния, что зло­умыш­лен­ник, ве­ро­ят­но, за­хва­тил ключ BitGo и ис­поль­зо­вал его для под­пи­са­ния тран­зак­ций, но BitGo объ­яви­ла в со­ци­аль­ных сетях, что ни один из ее сер­ве­ров не был взло­ман. Bitfinex от­кры­то рас­ска­за­ла о про­изо­шед­шем и за­ве­ри­ла недо­воль­ных кли­ен­тов, что по­ста­ра­ет­ся ком­пен­си­ро­вать их по­те­ри.

Последствия

В итоге они вы­ку­пи­ли часть то­ке­нов, вы­пу­щен­ных в ходе ICO, чтобы вы­пла­тить сред­ства по­стра­дав­шим кли­ен­там, но по­те­рян­ные день­ги так и не уда­лось от­сле­дить. Bitfinex по-преж­не­му за­ни­ма­ет­ся об­ме­ном крип­то­ва­лют (BTC, LTC, ETH) и тра­ди­ци­он­ных фи­ат­ных валют.

1. Mt. Gox, 744 408 BTC, 19 июня 2011 года

злом Mt. Gox стал самой боль­шой кра­жей бит­ко­и­нов в ис­то­рии, и, в от­ли­чие от дру­гих слу­ча­ев, это была ра­бо­та вы­со­ко­про­фес­си­о­наль­ных ха­ке­ров, ис­поль­зу­ю­щих слож­ные уяз­ви­мо­сти — в те­че­ние несколь­ких лет они прак­ти­ко­ва­ли неболь­шие кражи и мо­шен­ни­че­ские схемы.

Самый из­вест­ный из этих эпи­зо­дов про­изо­шел в июне 2011 года. Хакер (или груп­па ха­ке­ров) пред­по­ло­жи­тель­но по­лу­чи­ли до­ступ к ком­пью­те­ру, при­над­ле­жа­ще­му од­но­му из ауди­то­ров, и ис­поль­зо­ва­ли уяз­ви­мость в си­сте­ме без­опас­но­сти для до­сту­па к сер­ве­рам Mt. Gox, после чего из­ме­ни­ли но­ми­наль­ную сто­и­мость бит­ко­и­на на 1 цент за мо­не­ту.

Затем они вы­ве­ли около 2 тыс бит­ко­и­нов. Неко­то­рые кли­ен­ты, сами того не зная, про­ве­ли сдел­ки по этой за­ни­жен­ной цене, сум­мар­но на 650 BTC, и, несмот­ря на то, что взлом попал в за­го­лов­ки газет по всему миру, ни од­но­го бит­ко­и­на вер­нуть не уда­лось.

Чтобы по­вы­сить до­ве­рие ин­ве­сто­ров, ком­па­ния ком­пен­си­ро­ва­ла укра­ден­ные мо­не­ты, по­ме­сти­ла боль­шую часть остав­ших­ся средств в оф­флайн-хра­ни­ли­ще, и сле­ду­ю­щую пару лет счи­та­лась самым на­деж­ным бит­ко­ин-об­мен­ни­ком в мире.

Од­на­ко это была лишь ил­лю­зия на­деж­но­сти. У ком­па­нии было парт­нер­ство с до­чер­ней аме­ри­кан­ской ком­па­ни­ей Coinlab. Как-то так вышло, что Mt. Gox ра­бо­та­ла в США без ли­цен­зии, чем при­влек­ла вни­ма­ние фе­де­раль­ных вла­стей. Кроме того, Coinlab по­да­ла на 75-мил­ли­он­ный иск за на­ру­ше­ние кон­трак­та, и по­сле­ду­ю­щее рас­сле­до­ва­ние при­ве­ло к за­мо­роз­ке 5 млн дол­ла­ров, что на­нес­ло су­ще­ствен­ный удар по ре­пу­та­ции ком­па­нии.

Но это ока­за­лась лишь вер­хуш­ка айс­бер­га. Ока­зы­ва­ет­ся, про­бле­мы ор­га­ни­за­ции были го­раз­до се­рьез­нее, при­чем ру­ко­вод­ство о них, ве­ро­ят­но, даже не знало.

Ге­не­раль­ный ди­рек­тор Mt. Gox, Марк Кар­пе­лес, из­на­чаль­но был раз­ра­бот­чи­ком, но со вре­ме­нем он пе­ре­стал вни­кать в тех­ни­че­ские по­дроб­но­сти, гре­ясь в лучах славы — ведь он со­здал самую боль­шую в мире плат­фор­му для об­ме­на крип­то­ва­лют. На тот мо­мент Mt. Gox об­ра­ба­ты­ва­ла более 70% всех сде­лок с бит­ко­и­ном.

Про­бле­ма была в низ­кой куль­ту­ре раз­ра­бот­ки, при­ня­той в ком­па­нии — здесь даже не ис­поль­зо­ва­лись си­сте­мы кон­тро­ля вер­сий. При­чем раз­ра­бот­чи­кам не уда­ва­лось ни­че­го из­ме­нить, по­сколь­ку на любое дей­ствие нужно было одоб­ре­ние ге­не­раль­но­го ди­рек­то­ра.

И, ко­неч­но, на­шлись же­ла­ю­щие вос­поль­зо­вать­ся тех­но­ло­ги­че­ской сла­бо­стью сер­ви­са. В ка­кой-то мо­мент ха­ке­ры сде­ла­ли так, что бит­ко­и­ны стало можно ку­пить по любой цене, и в те­че­ние несколь­ких минут были про­да­ны мо­не­ты на мил­ли­о­ны дол­ла­ров — по боль­шей части за гроши. Ми­ро­вые цены на бит­ко­ин ста­би­ли­зи­ро­ва­лись уже через несколь­ко минут, но было уже позд­но.

Последствия

Когда пыль осела, ока­за­лось, что Mt. Gox по­те­ря­ла около 850 тыс. бит­ко­и­нов. Бирже при­ш­лось объ­явить о банк­рот­стве, сотни тысяч че­ло­век по­те­ря­ли сред­ства, а япон­ские вла­сти аре­сто­ва­ли ге­не­раль­но­го ди­рек­то­ра Марка Кар­пе­ле­са за мо­шен­ни­че­ство. Он не при­знал себя ви­нов­ным и впо­след­ствии был осво­бож­ден.

В 2014 году вла­сти вос­ста­но­ви­ли часть бит­ко­и­нов, остав­ших­ся на ста­рых ад­ре­сах, но не стали пе­ре­да­вать их бирже, а со­зда­ли траст для воз­ме­ще­ния убыт­ков кре­ди­то­ров.