V roce 2015 skupina Ztohoven ukradla z hradu vlajku na jejíž místo pověsila červené trenýrky. Původní vlajku se rozhodli rozřezat na 1152 kusů, každý o rozměrech 24×24 cm. Autenticita útržků byla zapsána na blockchain a zároveň každý z nich obsahoval 0,0018 BTC. Dohromady tedy na útržky vlajek nahráli 2,17 BTC. Co se s nimi pak stalo? Rozeslali je náhodným lidem jako symbol decentralizace! Již tak zajímavý počin má ovšem vadu na kráse. Bitcoiny z těchto vlajek (peněženek) posléze zmizely.
Problém byl veřejně dostupný xpub
Díky chybě skupiny byl klíč xpub chvíli dostupný na webových stránkách Ztohoven.com. Přestože byl odstraněn velmi rychle, Stick a Slush (zakladatel Trezoru a Slush Poolu) si jej stáhli. Namísto, aby tuto trhlinu ohlásili lidem ze Ztohoven, na které měli i kontakty (maily, telefony), se jí údajně rozhodli zneužít.
Skupina Ztohoven obviňuje z krádeže TREZOR
Poté, co se lidé z Trezoru (Satoshi Labs) dostali ke klíči xpub, začali hledat alespoň jeden kus vlajky s privátním klíčem. Proč? S jediným privátním klíčem a xpubem totiž mohli vypočítat a odhalit všechny privátní klíče k adresám, které Ztohoven mezi lidi rozeslalo.
Zneužili tedy výše zmíněné chyby, vypočítali si ostatní privátní klíče a z peněženek (vlajek) byly Bitcoiny rázem pryč.
Kauza se probírala i na HCPP 2019
Vcelku pikantní záležitost, která byla léta pod pokličkou, se včera objevila nejen na stránce Ztohoven, ale dnes se probírala i na Hackers Congressu v Paralelní Polis (Praha).
Lidé z Trezoru (Satoshi Labs) reagovali takřka okamžitě
Marek Palatinus (Slush) a Pavol Rusnák (Stick) zveřejnili dokument, kde celou situaci vysvětlují. Po tom, co obrali majitele adres (vlajek) o peníze, vytvořili stránku, kde se poškození mohli do jednoho roku přihlásit ke svým penězům. Kdo tak neučiní, toho peníze “propadnou” a budou zaslány na charitu. Následně ale byla stránka po domluvě se Ztohoven zrušena a lidé spojení s firmou Satoshi Labs zaslali zpátky 1,53 BTC na adresu skupiny, jež peněženky (vlajky) distribuovala.
Celé vyjádření trezoru najdete zde: Reaction to Breaking the silence about stolen bitcoins from 1134 wallets
Závěr
Ať už si to přeberete jakkoliv, něco podobného by se asi ve firmě, která má vedoucí postavení ve světě kryptoměnových peněženek dít nemělo. Jistě byly i jiné způsoby, jak upozornit na trhlinu. Třeba se Slush a Stick vyjádří, proč to udělali zrovna takto…
Co si o tom myslíte vy? Je to chválihodný čin, průšvih, ostuda, nebo cokoliv jiného? Napište svůj názor do komentáře.
Co číst dále?
06.10.19 Technická analýza LTC a XLM – Kdy konečně porostou?
A to ani nemáme duben 🙂
od slushpoolu me to vubec neprekvapuje vlastne… ;D
Nedělal bych ukvapené závěry ještě, Slush v podstatě vydal co se stalo, ale nikde jsem neviděl vysvětlení proč to udělal a proč zrovna takto… Slush to nazývá prank, Ztohoven zase krádež… No možná se ještě nějaké detaily vynoří…
Dost podivný příběh. Je to už druhá záležitost která snižuje mojí důvěru v Trezor a vše kolem.
ale nesnizuje. poloz si otazku jak na ne prisli ? protoze to zverejnili.
Dle dostupných informací Trezor/Slush nic nezveřejnil a lidem kolem Ztohoven/Paralelní Polis trvalo dost dlouho než přišli na to kdo a jak tyto adresy vybílil…
Pro kontext: přidal bych si do časové souslednosti třeba to jak Roman Týc vyfackoval Urzu, ten vyzval Paralelní Polis ať si toho psychopata zpacifikují, ti strčili hlavu do písku a Slushpool se Satoshi labs stáhli sponzorství HCPP s odůvodněním že PP nemá strkat hlavu do písku.
Při těchto vztazích jak z telenovely se nedivím, že následně jedna strana využije chyby druhé strany aby jí znemožnila nebo “ochránila nevyužité peníze před nepředvídatelným psychopatem”.
Následná nabídka vrácení peněz držitelům části vlajky a darování zbytku Lékařům bez hranic podle mě udržuje dobrou pověst Satoshi labs jako bezpečnostní firmy.
Musite si uvedomit, ze slush je a vzdy byl eticky hacker. Ostatne z takoveto skupiny i vzesel, pochybnosti o moralnosti tohoto cinu jsou hloupe klidne to mohl ukrast a nikdo by to nezjistil. Bylo by naivni si myslet ze slush se nezna s lidma z paralelni polis 🙂
Jaký byl úmysl ví asi jen Slush, vypadá to, že úmyslem nebylo pomoci skupině Ztohoven, minimálně se jim tato lekce nelíbí a považují ji za obyčejnou krádež. Zda tam jsou hlubší myšlenky či zda to prospělo někomu jinému zatím nevím. Vztahy mezi oběma stranami jsou dost napjaté, kdo ví o co tam šlo… Jedno je jisté, nešlo o krádež ve smyslu na tom zbohatnout, 1.5 BTC pro ně bylo v té době nic, asi jako okrást “kamaráda” o 5 Kč s velkou pompou… Na nějaké závěry je ještě čas, třeba v tom má prsty Kazma :DDD
počkat, takže lidi z trezoru vám ty BTC zachránili a vy tu píšete takovýdle kydy, jo? 😀 😀
Na toto téma byla douhá debata, iniciátorem a autorem této verze je zástupce Paralelní Polis, tvrdí, že lidé ze Satoshilabs využili nepozornosti/chyby a ukradli bitcoiny z rozkouskovaných standart, které lidem dorazily. Slush bohužel svou verzi příběhu nepřispěl, takže se jen spustila hádka na facebooku mezi zástupci Satoshilabs a Polis, ze které nebylo jasné prakticky nic… Pokud to bylo jinak, rádi publikujeme i názor nebo náhled na situaci z druhé strany.