Des vulnérabilités de retrait ont permis le vol de bitcoins depuis Flexcoin et Poloniex

Les pirates ont trouvé des failles de sécurité qui leur ont permis de retirer des comptes avec Flexcoin et Poloniex, deux sites Web qui facilitent les transactions bitcoin, et les ont exploités pour voler des bitcoins aux deux services. Les attaques ont mis Flexcoin hors de l'entreprise et coûté aux utilisateurs de Poloniex 12,3% de leurs bitcoins.

Flexcoin, qui s'est décrite comme la "première banque de bitcoins au monde", a annoncé lundi qu'elle fermait ses portes après que des pirates aient volé 896 bitcoins d'une valeur d'environ 600 000 $ US dans son "portefeuille chaud" - un portefeuille bitcoin connecté à Internet. La société a publié plus de détails sur le piratage dans une mise à jour publiée sur son site Web mardi soir..

L'attaquant a d'abord créé un nouveau compte Flexcoin et y a déposé des bitcoins, a déclaré Flexcoin dans la mise à jour. Il a ensuite "exploité avec succès une faille dans le code qui permet les transferts entre les utilisateurs de Flexcoin. En envoyant des milliers de demandes simultanées, l'attaquant a pu" déplacer "des pièces d'un compte d'utilisateur à un autre jusqu'à ce que le compte d'envoi soit à découvert, avant que les soldes ne soient mis à jour. . Cela a ensuite été répété sur plusieurs comptes, faisant boule de neige jusqu'à ce que l'attaquant retire les pièces. "

La société a décrit la vulnérabilité comme une faille dans son front-end, mais n'a pas précisé pourquoi son système ne tenait pas compte du dépassement.

"La description de Flexcoin me rappelle les vulnérabilités que je voyais dans les applications bancaires en ligne il y a 10 ans", a déclaré par courriel Amichai Shulman, directeur technique de la société de sécurité Imperva. "Une vulnérabilité individuelle est excusable, ne pas avoir de surveillance en place pour la détecter en temps opportun ne l'est pas."

"Sans plus de détails, il est difficile de dire exactement à quel point la condition était complexe, mais le fait qu'elle nécessitait plusieurs comptes actifs et demandes rend moins probable qu'ils auraient trouvé cette condition grâce à des tests de base", a déclaré Tim Erlin, directeur de stratégie de gestion des risques de sécurité de la société de sécurité Tripwire, par e-mail.

Cependant, que la vulnérabilité soit complexe ou basique n'est pas aussi importante que son impact, a déclaré Erlin. "La gravité de la faille est mise en évidence par l'impact: Flexcoin est en faillite."

Un échange de bitcoins appelé Poloniex a également annoncé mardi qu'un attaquant a volé 12,3% de ses fonds en utilisant une technique qui a entraîné des comptes à découvert. Cependant, il n'est pas clair si l'attaque est liée à celle contre Flexcoin.

"Le pirate informatique a découvert que si vous effectuez plusieurs retraits tous pratiquement au même instant, ils seront traités plus ou moins en même temps", a déclaré un utilisateur nommé busoni, qui s'est identifié comme le propriétaire de l'échange Poloniex, sur BitcoinTalk. forum. "Cela entraînera un solde négatif, mais des insertions valides dans la base de données, qui seront ensuite récupérées par le démon de retrait. Le problème majeur ici est que les fonctions d'audit et de sécurité ne recherchaient pas explicitement les soldes négatifs."

Poloniex a eu plus de chance que Flexcoin car il a détecté l'activité de retrait inhabituelle et a gelé les transactions avant que l'attaquant n'ait causé plus de dégâts. Les retraits de l'échange ont été suspendus jusqu'à ce que le problème soit réglé.

Le propriétaire de Poloniex n'a pas précisé combien de bitcoins représentent 12,3% des fonds, mais il prévoit de déduire uniformément le montant perdu de tous les soldes des utilisateurs et de le récupérer à temps des frais de change, qui seront augmentés pour accélérer le processus..

Il a également déclaré qu'il couvrirait une partie de la dette de son propre argent, mais pas la totalité. "Si j'avais de l'argent pour couvrir la totalité de la dette en ce moment, je la couvrirais en un clin d'œil", a-t-il déclaré. "Je ne le fais tout simplement pas, et je ne peux pas simplement le retirer de l'air."

Les incidents Flexcoin et Poloniex surviennent après le mont. Gox a déclaré que des pirates avaient volé une grande quantité de bitcoins à la bourse d'échange de bitcoins, ce qui a conduit la société à déclarer faillite la semaine dernière..

Shulman est préoccupé par le schéma des violations de la sécurité au cours des derniers mois qui ont entraîné des vols dans les échanges de bitcoins et d'autres services.

"Nous voyons des organisations" financières "liées au bitcoin s'effondrer comme une tour de cartes", a-t-il déclaré. "Ne pas avoir la capacité de récupérer (financièrement) d'une attaque en ligne n'est pas quelque chose que nous attendons sur un marché financier mature. Je pense que ce que les utilisateurs de bitcoin apprennent maintenant, à la dure, c'est qu'il y a des avantages à l'existant ' infrastructure financière centralisée et réglementée (comme la supervision et l'assurance par exemple). "

Erlin pense que la récente éruption de vols de bitcoins est en fait une preuve que le Bitcoin est un système monétaire valide. Cependant, "cela ne le restera que si le marché peut mûrir le niveau de protection qui l'entoure", a-t-il déclaré..

"Puisqu'il n'y a aucune surveillance pour auditer les implémentations des processus Bitcoin, et aucune organisation qui soutient la devise, je pense que nous verrons plus d'incidents comme celui-ci et certains de ces incidents affecteront des individus, ainsi que des entreprises comme Flexcoin", a déclaré Dwayne. Melancon, CTO de Tripwire, par e-mail.

Selon le site wiki Bitcoin, conserver un grand nombre de bitcoins dans un portefeuille chaud est "une pratique de sécurité fondamentalement médiocre". Il est courant que les échanges de bitcoins gardent certains fonds dans des portefeuilles chauds afin de faciliter les retraits immédiats, mais la meilleure pratique consiste à ne le faire qu'avec de petites quantités.

"Flexcoin a fait tout son possible pour maintenir nos serveurs aussi sécurisés que possible, y compris des tests réguliers", a déclaré Flexcoin. "Au cours de nos ~ 3 ans d'existence, nous avons réussi à repousser des milliers d'attaques. Mais au final, ce n'était tout simplement pas suffisant."

"Faire en sorte que ce soit la fin de notre petite entreprise, après les heures de travail sans fin que nous avons mises, n'a jamais été notre intention", a déclaré la société. "Nous avons fait échouer nos clients, notre entreprise et, finalement, la communauté Bitcoin."

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.