A comunidade das criptomoedas já passou por alguns grandes hacks. Centenas de milhões de dólares foram roubados. Embora a tecnologia blockchain seja fundamentalmente mais segura do que os sistemas centralizados, o ecossistema ainda é incrivelmente novo e as práticas de programação precárias criam muitas vulnerabilidades de segurança, especialmente com sistemas construídos em torno de blockchains.
Aqui está uma lista de alguns dos maiores hacks de criptomoedas até o momento.
Agosto de 2010 – Protocolo do Bitcoin: 184 Bilhões de Bitcoins foram criados
Em 15 de agosto de 2010, Jeff Garzik, desenvolvedor do Bitcoin Core, notou que alguém conseguiu gerar uma transação de 184 bilhões de Bitcoin em um único bloco. A oferta máxima de Bitcoin deveria ser limitada a 21 milhões. Garzik publicou esta revelação no bitcointalk.
O invasor foi capaz de abusar de um bug no código usado para verificar as transações antes de incluí-las em um bloco. O código tinha um erro de transbordamento e não conseguiu detectar quando uma transação continha saídas que somaram mais de 2^64 satoshis (ou seja, 184 bilhões de BTC). Em vez de perceber que essa transação continha uma quantidade insana de BTC, a rede Bitcoin realmente pensava que havia apenas uma pequena quantidade. O invasor explorou esse bug e emitiu uma transação com saídas somando a pouco mais de 2^64 satoshis. Essa transação foi aceita pela blockchain e teve a sorte de ter sido detectada pela Garzik uma hora e meia após a ocorrência da transação.
Duas horas e meia depois, Gavin Andresen corrigiu o erro. Demorou mais uma hora para Satoshi aceitar o patch. Um hard fork foi então implantado e a nova blockchain reverteu a transação de 184 bilhões e todas as transações após ela.
Embora nenhum dinheiro tenha sido perdido durante este ataque, ainda foi um evento significativo para o Bitcoin. A resposta rápida dos desenvolvedores para corrigir o erro e reverter o ataque moustrou uma nova confiança na moeda emergente e demonstrou a resiliência do Bitcoin em ataques maliciosos.
Março de 2014 – MtGox: US$ 473 Milhões Roubados
O hack do MtGox é o maior desastre que já ocorreu até hoje. No total, US$ 473 milhões em Bitcoin foram roubados da exchange. Este roubo aconteceu ao longo de vários anos.
Antes do hack, a Mt. A Gox foi uma das maiores exchanges de criptomoedas e em um ponto, estava lidando com mais de 70% de todas as transações de Bitcoin em todo o mundo. No entanto, devido a um CEO abismal, uma organização de engenharia disfuncional e um código fraco, hackers desconhecidos conseguiram tirar Bitcoin da exchange sem detecção por anos.
Grande parte da culpa pode ser colocada em Mark Karpeles, o CEO da empresa. Karpeles era mais um programador infantil e idealista do que um CEO e aparentemente pensava na Mt. Gox como um projeto secundário. Por exemplo, um insider alegou que a MtGox não usou nenhum software de controle de versão e a única pessoa que poderia aprovar mudanças no código-fonte era o próprio Mark Karpeles.
O software de controle de versão (VCS) oferece benefícios de programação significativos. Primeiro, dá ao programador um histórico de mudança concisa e completa na base de código. Usando o VCS, um programador pode ver quem fez o que e em que horário além também de poder reverter temporariamente ou permanentemente mudanças. Em segundo lugar, o VCS permite que vários programadores trabalhem na base de códigos ao mesmo tempo sem se atrapalharem. Git, por exemplo, combina de forma elegante mudanças diferentes no mesmo arquivo e oferece uma ótima maneira de corrigir os conflitos. Sem VCS, seria um pesadelo de coordenação para um grande grupo de programadores que trabalham na mesma base de código. Agora, perceba que esta base de código lida com milhões de dólares de transações por dia e você verá como assustador era toda a situação.
Além disso, Karpeles definitivamente não deveria ser o único a aprovar um código. Um CEO deve se concentrar em desafios de alto nível, como o desenvolvimento de estratégia de negócios e o gerenciamento das operações e recursos gerais de uma empresa. A insistência de Karpeles em ser a única autoridade para aprovar o código mostra apenas quão imaturo e falho era o seu estilo de gestão. Mt. Gox não é seu projeto de programação pessoal, é uma empresa de serviços financeiros profissional e você precisa deixar seus engenheiros cuidar do código.
Isso, obviamente, resultou em uma base de código altamente insegura.
Janeiro de 2015 – US$ 5.1 Milhões Roubados da Bitstamp
A Bitstamp suspendeu as negociações na sua plataforma em janeiro de 2015 após uma das suas carteiras operacionais de armazenamento de Bitcoin (carteiras quente) foi comprometida. Os hackers roubaram 19.000 Bitcoins, que representavam cerca de US$ 5.000.000 na época.
A maioria dos Bitcoins da Bitstamp são armazenados em carteiras frias (ou seja, carteiras armazenadas em servidores não conectados à Internet). Na época eles tinham 183.497 bitcoins em sua carteira fria (cold wallet), portanto, apesar de terem sido roubados em 19 mil bitcoins, o roubo não foi tão grande.
No entanto, o preço do Bitcoin na Bitstamp despencou depois que as notícias sairão.
As investigações sobre a violação mostraram que muitos dos funcionários da Bitstamp foram alvo de uma tentativa de phishing durante semanas. Aqueles por trás do ataque usaram o Skype e o email para se comunicar com os funcionários e tentaram distribuir arquivos contendo malware apelando para suas histórias e interesses pessoais. O sistema da Bitstamp tornou-se comprometido depois que o administrador de sistemas Luka Kodric baixou um arquivo que ele acreditava ter sido enviado por um representante de uma organização que estava buscando sua adesão.
Junho de 2016 – Decentralized Autonomous Organization (DAO)
A DAO era um projeto Ethereum. Seu objetivo era codificar as regras e os tomada de decisão de uma organização, eliminando a necessidade de documentos e pessoas no governo, criando uma estrutura com controle descentralizado.
O ICO da DAO foi lançado em 30 de abril de 2016 ce durou por 28 dias. Tornou-se o maior crowdfunding da história na época, arrecadando mais de US$ 150 milhões de mais de 11 mil contribuintes.
O código de contrato inteligente da DAO tinha uma vulnerabilidade crítica e um invasor conseguiu criar um “DAO infantil” e drenar Ether do DAO real. Em 18 de junho, o hacker conseguiu drenar 3,6 milhões de Ether do DAO real para o “DAO infantil”, que tem a mesma estrutura do DAO verdadeiro. O preço da Ether caiu de US$ 20 para US$13 no dia.
A resposta da Fundação Ethereum foi forçar a blockchain da Ethereum a mover todo o Ether da conta do hacker (aproximadamente US$ 50 milhões) para um novo endereço. Os curadores do DAO foram então escolhidos para supervisionar a distribuição dos fundos do crowdsale do DAO de volta aos seus contribuintes originais.
Embora o hard fork tenha conseguido reverter o ataque e ajudou os investidores do DAO a recuperar seus fundos, ele foi bastante controverso. Alguns membros da comunidade Ethereum estavam preocupados porque poderia prejudicar a percepção de que a blockchain era imutável e que os acordos de contrato, uma vez instalados na blockchain, seriam finais.
O legado da Ethereum após o hard fork não morreu e continuou a existir, eventualmente sendo conhecido como Ethereum Classic. Por algum motivo, Ethereum Classic foi listado rapidamente em algumas grandes exchanges de criptomoedas, como a Poloniex.
Julho de 2016 – Steemit.com US$ 85 mil roubados
Steem é uma media social baseada na blockchain onde os usuários são recompensados por criar bons conteúdos. Steemit.com é um site que hospeda conteúdo publicado na Steem blockchain.
Os usuários podem ter suas contas hospedadas no Steemit.com. Cada conta está associada a uma carteira Steem e os usuários podem reivindicar as recompensas Steem Dollar/Steem ao mesmo tempo que podem depositar e retirar Steem Dollars/Steem.
Em julho de 2016, Steemit foi atacado com cerca de 260 contas sendo comprometidas. No total, cerca de US$ 85.000 em Dólares Steem e Steem foram roubados.
Agosto de 2016 – US$ 66 Milhões Roubados da Bitfinex
O hack Bitfinex foi a segunda maior roubo de uma exchange Bitcoin. Um total de 120.000 Bitcoins foram roubados. Isso valeu cerca de US $ 72 milhões na época. O Bitfinex anunciou pela primeira vez a violação de segurança em 2 de agosto de 2016.
Os hackers exploraram uma vulnerabilidade com as carteiras de multi assinatura da Bitfinex usadas para armazenar os fundos de seus clientes. Esse tipo de carteira tem chaves divididas entre vários proprietários para mitigar o risco. Para enviar uma transação, todas as partes precisam concordar. No caso da Bitfinex, tinha um sistema configurado com outra empresa, o BitGo, pelo qual a Bitfinex armazenaria duas chaves e o BitGo armazenaria uma chave.
Nesta configuração, a BitGo atuaria como uma camada adicional de segurança e verificaria todas as transações que deixassem a Bitfinex. Isso permitiu que o Bitfinex reduzisse o uso de carteiras de armazenamento frio e teve muitos fundos do cliente armazenados em carteiras quentes. Quando os servidores da Bitfinex foram atacados, os hackers conseguiram não só obter acesso a carteira da Bitfinex para iniciar as retiradas de Bitcoin, mas a camada de segurança da BitGo também falhou e o BitGo co-assinou as retiradas.
Os detalhes são obscuros sobre como os atacantes conseguiram fazer com que a BitGo assinasse as transações. A BitGo confirmou publicamente que seus próprios servidores não estavam comprometidos. O rumor é que a configuração do sistema Bitfinex foi quebrada, de modo que o BitGo faria o que o Bitfinex dizia fazer com os fundos de um usuário. Como tal, o sistema de carteira de multi assinatura da Bitfinex realmente só teve um único ponto de falha – os servidores da Bitfinex – e realmente não é diferente do que simplesmente usar hot wallets.
Julho de 2017 – Hack do ICO da CoinDash
CoinDash é uma startup israelense que conduziu um ICO em julho deste ano para arrecadar fundos. No entanto, em apenas 13 minutos de crowdsale, um hacker conseguiu alterar o endereço Ethereum publicado no site do ICO. Este endereço é onde os investidores interessados devem enviar seu Ether para receber tokens da CoinDash.
Curiosamente, o hacker não mudou simplesmente o endereço no site. Fazer isso permitiria que o CoinDash detectasse rapidamente o hack porque os fundos do ICO deixariam de entrar completamente. Em vez disso, o hacker mudou o site de forma que ele mostraria intermitentemente o endereço falso. Isso significou que apenas uma parte dos fundos foi para o hacker, mas a CoinDash continuou a receber fundos, embora em uma taxa menor. Com isso, o problema só foi percebido após o hacker já ter roubado US$ 7 milhões. Ao descobrir o ICO foi interrompido imediatamente. A empresa ainda conseguiu arrecadar US $ 6,4 milhões.
Apesar das perdas, a CoinDash decidiu assumir os custos em si e prometeu distribuir os seus tokens de acordo com todos os que participaram do ICO antes de encerrar, enviando ou não fundos para o endereço correto.
Julho de 2017 – US $ 32 milhões roubados da Parity
Um invasor explorou uma vulnerabilidade encontrada na Parity Multisig Wallet versão 1.5+. Ele usou essa vulnerabilidade para drenar Ether de três contratos multi assinatura utilizados para armazenar fundos de ICOs anteriores (Edgeless Casino, Swarm City e æternity blockchain). No total, 153.037 Éter foram roubados.
Agosto de 2017 – ICO da Enigma com US$ 500,000 roubados
O Enigma ICO foi hackeado de uma forma muito diferente do ICO da CoinDash. A Enigma foi iniciada por um grupo de graduados do MIT e o projeto conseguiu criar uma comunidade forte de mais de 9.000 usuários que se juntou à lista de discussão do projeto e ao grupo Slack.
O hacker conseguiu invadir o site da Enigma, o grupo Slack e a lista de correspondência e enviou mensagens fraudulentas para a comunidade do projeto pedindo dinheiro. Isso permitiu ao hacker reunir cerca de 1.500 Ether (cerca de US$ 500.000). Isto é, apesar de um aviso prévio da Enigma, que não cobraria dinheiro dessa maneira até o ICO em setembro.
Descobriu-se que as credenciais do CEO da Enigma, Guy Zyskind, foram despejadas na internet pelo hacker de diferentes serviços no passado. A Zyskind não conseguiu alterar a senha para o seu e-mail e isso, juntamente com a falta de configuração de autenticação de dois fatores, permitiu que o hacker acessasse o site da Enigma, o grupo Slack e a lista de endereços.
