Mt-Gox

Автор блога WizSec представил анализ событий, связанных с кражей 80 000 биткоинов с биржи Mt. Gox в начале 2011 года. Девять лет спустя они снова вызывают интерес, поскольку самозваный создатель биткоина Крейг Райт утверждает, что владеет адресом 1FeexV6bAHb8ybZjqQMjJrcCrHGW9sb6u, на который были выведены эти биткоины. Приписывая себе адрес хакера, он отказывается признавать взлом Mt. Gox, заявляя, что купил находящиеся на нём монеты. Аналитики WizSec вернулись к событиям того времени, чтобы подтвердить, что эти биткоины были украдены с Mt. Gox и с тех пор не перемещались.

Они обращают внимание, что это лишь один из инцидентов на Mt. Gox, связанных с потерей криптовалюты:

  • Главная кража, состоящая в потере более чем 600 000 BTC, происходила постепенно с 2011 по 2013 гг., после того как злоумышленник получил доступ к горячему кошельку 11 сентября 2011 года;
  • Около 2 000 BTC было украдено, когда кто-то получил доступ к администраторскому аккаунту Джеда Маккалеба в июне 2011 года;
  • Дополнительный кошелёк с 300 000 BTC был украден с компьютера Марка Карпелеса в мае 2011 года. Хакер вернул эти средства;
  • Во время передачи активов Маккалебом Карпелесу около 80 000 BTC было украдено с горячего кошелька 1 марта 2011 года. Именно об этих биткоинах пойдёт речь.

Что известно

Первое доступное упоминание кражи связано с публикацией журналистами электронных писем, в которых Карпелес и Маккалеб обсуждают методы восполнения убытка. Переписка также была включена в иск против Mt. Gox и её администраторов в 2017 году.

Анализ данных в блокчейне указывает на то, что в это время была совершена всего одна транзакция, соответствующая описанию:

  • Она полностью опустошила горячий кошелёк. Такой вывод средств почти наверняка не мог быть санкционированным, потому что, даже если бы у кого-то из пользователей на счету была необходимая сумма, он не мог знать, сколько средств находится в самом кошельке;
  • В учётных записях Mt. Gox нет упоминания этой транзакции;
  • Выход с остатком неизрасходованной суммы отправился на один из адресов, использовавшихся до этого. Биткоин-кошельки никогда так не делают и каждый раз создают новые приватные ключи для отправки неизрасходованных сумм. Это, однако, может происходить, если кто-то запускает ещё один кошелёк из того же файла wallet.dat. Файл содержит набор из предустановленных ключей для 100 следующих транзакций, поэтому изначально такие адреса будут совпадать.

Таким образом, WizSec заявляют, что рассматриваемый адрес почти наверняка являлся горячим кошельком Mt. Gox. Это же подтверждает сам Карпелес.

mtgox_march_2011_theft

Основные этапы

  • В январе 2011 года Маккалеб ищет кандидата, чтобы передать ему Mt. Gox. Он общается с Карпелесом и переводит деньги клиентов из основного горячего кошелька в собственный побочный кошелёк;
  • В феврале 2011 года Маккалеб и Карпелес заключают соглашение о продаже и начинают процесс передачи управления, занявший несколько месяцев;
  • 1 марта 2011 года или до этой даты хакеры получают доступ к главному серверу Mt. Gox. Сервер содержит установочные файлы WordPress вместе с базой данных. Вероятно, WordPress, исторически известный наличием различных проблем в безопасности, позволил осуществить атаку;
  • Вскоре после 17:30 в тот же день хакер копирует файл wallet.dat от горячего кошелька на сервере. Первым адресом для вывода неизрасходованного остатка в нём является 1GPuT4JD1yKTEGnw2csTCqSAtS3DRiTD69;
  • В 17:30 кошелёк на сервере использует этот же адрес для отправки неизрасходованного остатка;
  • В 19:26 хакер загружает украденный файл wallet.dat в свой кошелёк и выводит все доступные биткоины на адрес 1FeexV6bAHb8ybZjqQMjJrcCrHGW9sb6uF, которым теперь, по собственному утверждению, владеет Райт;
  • Горячий кошелёк Mt. Gox продолжает функционировать и обслуживать запросы на вывод благодаря биткоинам, поступающим с новыми депозитами. Украденные биткоины составляли треть клиентских депозитов в то время. Оставшиеся средства находились в кошельке Маккалеба;
  • 3 марта Маккалеб сообщает Карпелесу о происшествии, используя знаменитую фразу: «Произошло кое-что плохое». Карпелес помогает Маккалебу перейти на новый хостинг;
  • Украденные монеты не перемещались с момента кражи и по сей день остаются на том же адресе. Этот факт лёг в основу теории о том, что хакер мог потерять приватные ключи.

Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме