12.11.13

Tak nám ukradli všechny Bitcoiny, paní Müllerová

(UPDATE 13.11 ve 23:10 na konci článku.)

V pondělí vzrušila český kyberprostor zpráva o tom, že někdo hackl a vykradl český bitcoinový portál a burzu www.bitcash.cz.

Já na bitcash.cz žádné finanční prostředky neměl (BTC ani Kč), ale byl jsem tam registrovaný a o celé záležitosti jsem se paradoxně dozvěděl díky phishingovému e-mailu, který mi dorazil a vyzýval mě k zaplacení 2 BTC na "profesionální vymahače z USA", hahaha.

(Klik pro větší verzi)

Záhy bylo vypátráno, že neznámý hacker vyvedl všechny Bitcoiny z bitcash.cz (bylo jich téměř 500!) na adresu 1Dxvnp7HuBC4g3L199q2up9o6H21PUkZLQ, a to konkrétně touto transakcí. (K takovému odhalení nemusí být člověk žádný Einstein, takhle Bitcoiny fungují a je to jejich výhoda i nevýhoda.) Za domácí úkol se můžete pokusit vystopovat, kam se odtud Bitcoiny dále rozutekly.

Prostým použitím Googlu dále bylo možno zjistit, že se tato adresa vyskytuje na stránce www.bitcoin-charity.info, kde je uváděna jako adresa, na kterou je možno zasílat dobrovolné příspěvky pro WikiLeaks! Takže to chvíli vypadalo, že Čechy okradl Julian Assagne, ale za pár hodin bohužel celá doména www.bitcoin-charity.info zmizela (zde je její Google cache), tudíž je vysoce pravděpodobné, že celá ta doména byl podvod a/nebo hack (WikiLeaks na svých stránkách každopádně uvádějí pro svou finanční podporu jinou BTC adresu).

Z této politováníhodné události je možno vyvodit několik zajímavých závěrů:

1) Bitcoinům pořád málokdo rozumí

Protože šlo o značné peníze, objevily se zprávy o tomto hacku i na serióznějších mainstream zpravodajských serverech, kde jste se mohli dočíst, že "byly ukradeny všechny české Bitcoiny", nebo že "kurz Bitcoinu je nyní přes 250 dolarů" (přičemž nikdy mezi hackem a zveřejněním článku neklesl pod 350). A že měnový kód pro Bitcoin je XBC (je to BTC). Tyto přehmaty jsou v současné chvíli již většinou opraveny.

2) Protokol Bitcoinu je nadále bezpečný a neprolomený

Jak už jsem psal ve svém starším článku, tento typ krádeží nemá nic společného s bezpečností Bitcoinu jako takového. Pokud jste natolik důvěřiví, že někomu pošlete své Bitcoiny do jím spravované peněženky, pak necháváte jejich bezpečnost výhradně na něm a vy ji nijak neovlivníte. Náhoda je svině, CIA a FBI jsou ještě větší svině, takže se snažím dobu, kdy mi Bitcoiny leží na burze (nebo kdekoliv jinde než v mé peněžence), omezit na naprosté minimum.

3) Prověřujte si, komu věříte

Neznám podrobnosti ohledně fungování bitcash.cz (pouze jsem se tam zaregistroval a na webu jsem strávil asi 10 minut celkem), ale všechno, co jsem v souvislosti s touto kauzou viděl, svědčí o naprostém diletantismu jeho provozovatelů (proti kterým nic osobního nemám a neznám je). Někteří přišli s teoriemi, že to celé je pouze chytrý podvod provozovatelů bitcash.cz, ale to si rozhodně nemyslím. Je to jenom neschopnost a neodůvodněná důvěra uživatelů.

Začněme tím, že kdybych byl klientem bitcash.cz a nedostal bych ten phishingový e-mail (a mám ověřeno, že ho rozhodně nedostali všichni klienti), tak ani teď, více než 24 hodin po útoku vůbec netuším, že jsem přišel o své peníze!

Jediné informace od provozovatelů pro oběti se nacházejí na www.bitcash.cz a na facebookové stránce Bitcash.cz (která je provozována fanoušky, nikoliv majiteli Bitcash.cz). Na bitcash.cz se ještě v tuto chvíli nachází stále jen toto a nic víc:


Zatímco na Facebooku je toto vlákno, kde se nachází zatím jediné upozornění provozovatele, že ty e-maily s žádostí o 2 BTC jsou podvod (tzn. kdo nečte Facebook, dosud o tom neví!!!), a pak spousta rozhořčených klientů, kteří se většinou ještě nacházejí ve fázi "denial", tj. domnívají se stále ještě, že své Bitcoiny někdy uvidí a že jim k tomu pomůže například policie ČR, provozovatel bitcash.cz, Ježíš Kristus nebo jiná pohádková entita.

Nebudu zde rozebírat zabezpečení serveru bitcash.cz, protože by to byly jen dohady, ale o mnohém svědčí skutečnost, že Bitcoiny v hodnotě několika milionů Kč se všechny nacházely na účtech, k nímž byla potřebná hesla na serveru někde v serverovně. Správně měla být většina BTC většinu času uschována v "Cold Storage", tzn. na bezpečném účtě, jehož hesla nemá nikdo jiný, než nejvyšší boss (a jeho manželka/matka pro případ jeho smrti). Kvůli takovémuto objemu peněz by se přece někomu vyplatilo už i fyzicky se vloupat do serverovny a server odnést! (Silně pochybuji, že jeho souborový systém byl zakódovaný externím klíčem - ale jistotu nemám, jsou to dohady.)

Každopádně jde o fatální selhání komunikace ze strany bitcash.cz a s velkou pravděpodobností i o bezpečnostní a technické selhání.

Trestní oznámení bude rozhodně zajímavé, protože někdo bude muset nejdříve policii vysvětlit, že byla zkopírována nějaká čísla, která za jistých podmínek mohou mít finanční ekvivalent, a že okradený s nimi ve velkém obchodoval a měnil je za reálné peníze, aniž by byl obchodníkem nebo bankou. Ten rozhovor s panem nadstrážmistrem Vomáčkou bych rád slyšel!

A ještě vlastní polívčičika: Moje osobní směnárna stále bezpečně funguje. :)

UPDATE 13.11, 23:10: Dodatečně jsem si vzpomněl, že před několika měsíci (v srpnu) mi přišel z info@bitcash.cz mail, ve kterém admin (s přezdívkou carlos) nabízel zapojení mé BTC stránky do jeho serveru. Na tento e-mail jsem podrobně odpověděl (ještě téhož dne), ale vrátila se mi pouze chyba (třikrát): "Google tried to deliver your message, but it was rejected by the server for the recipient domain bitcash.cz by mail.alh.cz. [88.208.121.58]." To pro mě bylo dostatečným signálem k tomu, abych na bitcash.cz nikdy žádné peníze neposílal.

16 komentářů:

  1. jj, ten rozhovor bych chtěl rozhodně vidět ..

    OdpovědětVymazat
  2. Ja mam taky ucet na bitcash a zadnej mail sem nedostal vubec , je nekde nejak moznost , ,krome FB kde si nejak lidi z bitcash domlouvaj spolecnej postup ? Jak sem psal na G+ nestesti sem si skoro vse prevedl do poker herny takze sem prisel o nejake zlomek btc ale i tak by nejaka zprava nebo vyjadreni z vedeni bitcash by to chtelo ....

    OdpovědětVymazat
  3. web oné charity je pod http://www.bitcoin-charity.info/

    OdpovědětVymazat
  4. s tou cold storage je to těžký. pokud provozuješ server, jako je bitcash, kde chceš, aby z toho serveru šly okamžitě vybrat peníze uživatelem, nemůžet ty privátní klíče mít úplně jinde.

    OdpovědětVymazat
    Odpovědi
    1. Na Aukro take nemusim posilat klice od sveho skladu ani pristupove kody k bankovnimu uctu. Bitcoin ma nadhernou featuru, ze mohu sledovat transakce, takze jakmile nekomu vznikne zavazek zasllat 1.5 BTC z penezenky A do penezenky B, muze to burza sledovat a v pripade provedeni uvolnit penezni prostredky pro druhou stranu, nebo pouze vyzvat druhou stranu, aby zaplatila (od niz mam cislo uctu a cislo obcanky). Osobne mam nazor, ze by burza mela pracovat primarne s korunami a na bitcoiny vubec nesahat. Preci jen ceske pravo poradi s ukradenymi korunami, ci s nesplnenim plnenim v korunach, nez v bitcoinech.

      Vymazat
    2. Ještě čip do péra by to chtělo na eletrošoky a je to dokonalý.

      Vymazat
    3. Koukam ze se konecne nekdo našel , jaky to je s tema eletrošokama ?? Můžeš nam neco o tom povypravet ?? Maš pero v hlavě ?? Byl to težky zákrok ?? Zbyl ti tam kus mozgu nebo ne ??

      Vymazat
    4. To je tolik otázek, že snad radši ani plavat neumím.

      Vymazat
  5. Nadstrážmistr Vomáčka se vám na to vysere, na takovýhle případy má policie hromadu odborníků kterejm to předá.

    OdpovědětVymazat
  6. Provozovatelé Bitcash.cz teď spíš než na trestním oznámení pracují na tom, aby vymazali všechny stopy o vlastní existenci, protože už jim asi došlo, že za ztracené BTC odpovídají jednotlivým uživatelům právě oni. A až to dojde jejich uživatelům, tak by z toho mohl být opravdu hezký spor. :)

    OdpovědětVymazat
  7. Blaze tomu, kdo nic nemá, nestará se kam co schová. Směle lehne, směle vstane, žádnej mu nic neukradne .

    OdpovědětVymazat
  8. jeden z Bozich practical jokeu; celkem dobrej

    OdpovědětVymazat
  9. ještě lepší bude, až se Frantovi ty bitcoiny objeví na účtu

    OdpovědětVymazat
  10. google vse vi, a vse si pamatuje, napriklad po zadani jmena provozovatele bitcash.cz dokaze najit i toto: http://www.reflex.cz/clanek/stary-reflex-reflex-cz-reflex-cz-jxd/28648/chteli-ukrast-cannabis-cup.html

    OdpovědětVymazat
  11. Lol.. Tak přísný Update jsem dlouho nečetl.. ;) FF prostě vidí dál!..

    OdpovědětVymazat

Komentáře jsou moderovány kombinací umělé a lidské inteligence. Mohou být zveřejněny až po několika hodinách a ty zveřejněné mohou později zmizet. Pokud pošlete stejný (nebo podobný) komentář několikrát, výrazně se tím snižuje pravděpodobnost, že bude někdy publikován.