Včera jsme psali o masivním bezpečnostním incidentu společnosti Coincheck, během kterého hackeři ukradli více než půl miliardy dolarů, přesněji 300.000 NEM tokenů.
(přeloženo ze slovenského originálu Samuela Slavkovského)
O kryptoměně NEM najdete více informací v tomto článku. Rozhodně doporučujeme přečíst.
Největší kryptohack v historii, tak trochu…
Coincheck se stal terčem největší krádeže digitálních tokenů v historii. Tedy, z jistého úhlu pohledu. Podle předběžných informací se v čase incidentu celková hodnota ukradených NEM tokenů pohybovala okolo 530 milionů dolarů.
Během legendárního pádu burzy Mt. Gox bylo odcizeno 850.000 Bitcoinů s celkovou hodnotou (tehdy) 450 milionů dolarů. Co se týká procentuálního podílu ukradených tokenů na celkové kapitalizaci trhu, Mt. Gox stále vede.
V čase psaní tohoto článku se NEM tokeny pohnuly na dvě adresy. Obě byly označené mozaikovým varováním. Burzy tak budou vědět, že nemají akceptovat NEM tokeny z těchto adres:
Narušena byla jen NEM peněženka
Výkonný výbor směnárny potvrdil, že problém byl izolovaný pouze na NEM peněženku. Ještě nedávno totiž kolovaly zprávy, že burza měla problémy s větším množství účtů. Ripple ledger monitor například zaznamenal podezřelou transakci v celkové hodnotě 110 milionů dolarů, která také vycházela z burzovní peněženky.
Viz tento tweet:
110 mil usd in #Ripple (XRP) were sent from the Japanese cryptocurrency exchange Coincheck to an unknown address. Hacking suspected. https://t.co/hmGhlSmJEH
— Costin Raiu (@craiu) January 26, 2018
Nešlo však o krádež, ale o bezpečnostní opatření a tyto tokeny jsou v bezpečí.
Ředitel NEM Foundation nezapomněl podotknout, že tento hack neměl nic společného s bezpečností platební sítě a šlo výhradně o problém s burzou Coincheck.
Porušeny byly základní pravidla bezpečnosti
Disclaimer: Následující text reprezentuje názor autora Samuela Slavkovského na absolutní selhání burzy Coincheck.
Oblast informační bezpečnosti je mi celkem blízká a podle mého názoru je podobné selhání absolutně neodpustitelné. Problém vidím ve vedení burzy Coincheck, které podcenilo situaci a ve výsledku mohou být rádi, že nepřišli o větší částku.
Hot vs. cold storage
Hot wallet – peněženka, která je připojená k internetu. Hacker teoreticky může ukradnout privátní klíč k této peněžence, rsp. přesvědčit systém, aby ho použil k převedení peněz na vlastní účet.
Cold wallet – například Trezor. Peněženka, která není žádným způsobem připojena k internetu. Asi si umíte představit, že hacknutí takové peněženky na dálku je relativně problematické.
Zaprvé, burza potvrdila, že NEM tokeny byly ukradeny z jejich hot wallet. Důvod? Bylo pro ně náročné držet většinu peněz v cold wallet.
To je v podstatě ekvivalent promenádování se s 500 miliony dolarů v kufříku po Václavském náměstí. Někdo vám ho dříve či později ukradne.
Když už burza drží tolik peněz v hot-wallet, měla by aspoň používat několik oddělených peněženek a ne jednu velkou. Jaký problém je nastavit limit na maximální množství tokenů v peněžence a po jeho přesáhnutí vytvořit novou? Jistě, přidává to systému jistou komplexitu, ale výrazně nižší bezpečnostní riziko za to stojí.
Co je však horší, burza dosud neimplementovala systém multisig smart kontraktů, který na NEM už nějakou dobu existuje a přidal by další bezpečnostní vrstvu.
NEM neplánuje forkovat blockchain a získat tokeny zpět
NEM Foundation už stihla potvrdit, že hard-fork, který by retrospektivně vrátil NEM tokeny Coinchecku, nepodpoří. Popravdě, ani se jim nedivíme. Ethereum Foundation se k tomuto řešení v minulosti uchýlila a nepříjemným důsledkům čelí dodnes.
Coincheck ale plánuje dále fungovat a postupně svým zákazníkům splatit odcizenou částku.
Trh nereaguje
Zdá sa, že podobné zprávy už investory velmi nevzrušují. Na hacky jsme si v podstatě zvykli. Trh dnes povyskočil o cca 5 %. O současné situaci jsme napsali článek, najdete ho v tomto odkazu.
