Izgubljena šifra bitcoin novčanika pomogla je u otkrivanju velikog sigurnosnog propusta

U utorak je tim objavljujući informacije o tome kako su to učinili. Nadaju se da je to dovoljno podataka da će vlasnici milijuna novčanika shvatiti da su u opasnosti i premjestiti svoj novac, ali ne toliko podataka da kriminalci mogu smisliti kako izvesti ono što bi bila jedna od najvećih pljački svih vremena.

Njihov start-up, Unciphered, mjesecima je radio kako bi upozorio više od milijun ljudi da su im novčanici ugroženi. Milijunima drugih nije rečeno, često zato što su njihovi novčanici stvoreni na web stranicama za kriptovalute koji su prestali poslovati.

Priča o ranjivostima tih novčanika naglašava golemi rizik u eksperimentalnim valutama, osim njihovih divljih fluktuacija vrijednosti i propisa koji se brzo mijenjaju. Mnogi novčanici stvoreni su s kodom koji sadrži duboke nedostatke, a tvrtke koje su koristile taj kod mogu nestati. Osim toga, to je otrežnjujući podsjetnik da se ispod softverske infrastrukture svih vrsta, čak i onih eksplicitno namijenjenih osiguravanju sredstava, nalaze programi otvorenog koda koje nadzire malo ili nimalo ljudi.

“Otvoreni kod stari kao mlijeko. Na kraju će se pokvariti,” rekao je Chris Wysopal, suosnivač sigurnosne tvrtke Veracode koja je savjetovala Nešifrirano kao to sredio problem.

Tvrtka je svoj proces i zaključke podijelila s The Washington Postom prije nego što je izašla u javnost.

Rizik od lošeg koda otvorenog koda razotkriven je 2021. kada je otkriveno da se Log4j, sveprisutni alat koji koriste softverski serviseri, a za koji je malo korisnika uopće bilo svjesno, može koristiti za izvršavanje zlonamjernog koda. Otkriće je zahvatilo paniku tvrtke diljem svijeta i postavili sigurnost otvorenog koda kao glavni prioritet Agencije za kibernetičku sigurnost i sigurnost infrastrukture Ministarstva domovinske sigurnosti, koja sada tjera tvrtke da mapiraju sve programe o kojima ovise.

“Svaka tehnologija koju je napravio čovjek sadrži nedostatke koji potječu od njezinih kreatora”, rekao je suosnivač Unciphereda Eric Michaud.

Stefan Thomas, tehnolog koji je kreirao softver korišten za izradu novčanika, rekao je za The Post da je to učinio iz hobija i da je ključni dio koda preuzeo iz programa objavljenog na stranici studenta Sveučilišta Stanford, ne provjeravajući da vidi ako je bio zvuk.

“Umjesto toga, bio sam opsjednut time da ne pogriješim u vlastitom kodu”, rekao je Thomas. “Žao mi je svima koji su pogođeni ovom greškom.”

Unciphered propust naziva “Randstorm”, jer proizlazi iz programa novčanika koji su stvorili kriptografske ključeve koji nisu bili dovoljno nasumični. Umjesto izrade elektroničkih ključeva koji su bili jedan u trilijun i stoga ih je bilo teško krivotvoriti strancima, napravili su ključeve koji su bili jedan u tisućama – faktor slučajnosti koji je lako hakirati.

Osoba koja je pokrenula loptu je investitor Nick Sullivan, rani vjernik bitcoina koji je koristio stranicu Blockchain.info, od tada preimenovanu u Blockchain.com, da napravi novčanik 2014. Nedugo nakon toga, obrisao je memoriju svog računala ne shvaćajući da nije spremio u svoj upravitelj lozinki gomilu slova i brojeva koji bi mu omogućili pristup njegovom kripto računu.

Bio je to prilično frustrirajući splet okolnosti, rekao je Sullivan za The Post. U to je vrijeme bio bez oko 18.000 dolara. Taj iznos sada vrijedi 100.000 dolara — dovoljno da mu se isplati angažirati hakere i veterane Nacionalne sigurnosne agencije u Uncipheredu da ga pokušaju povratiti.

Unciphered, jedna od nekolicine tvrtki posvećenih vraćanju zarobljenih elektroničkih sredstava uz naknadu, započela je potragu za Sullivanovim novcem u siječnju 2022.

Ispostavilo se da informacije koje je Sullivan imao o tome kako je napravio račun nisu bile dovoljne da dopuste Uncipheredovim stručnjacima da provale u novčanik. Ali proučavajući problem, tim Unciphereda otkrio je veći problem: Thomasov kod, poznat kao LibbitcoinJS, koji je trebao stvoriti novčanike s nasumičnim ključevima, nije ih uvijek činio dovoljno nasumičnim.

Problem je još veći, Thomasov Libbitcoin nije koristio samo Blockchain.info, već i mnogi druge stranice od 2011. nadalje, uključujući glavni izvor novčanika za bivšu šaljivu valutu dogecoin, Dogechain.info. Izvršni direktor vlasnika te stranice, Block.io, nije odgovorio na e-poruku The Posta u kojoj se tražio komentar.

“BitcoinJS je užasno pokvaren do ožujka 2014.”, rekao je Michaud, misleći na javascript program Libbitcoin. “Svatko tko ga izravno koristi nalazi se na vrlo visokoj granici rizika od napada.”

Kriptografi su 2014. godine otkrili slabosti u načinu na koji većina glavnih preglednika stvara slučajnost, što je pogoršavalo problem, a kasnije su se popravili. Također su dodane Blockchain.info i neke druge stranice više slučajnosti, izrade novčanike teže razbiti. Unciphered nije pronašao novčanike stvorene nakon 2016. koji su ranjivi zbog slabe slučajnosti.

Ali to još uvijek ostavlja milijune novčanika ranjivima.

Najlakše bi bilo provaliti u novčanike napravljene prije ožujka 2012., koji drže oko 100 milijuna dolara i mogao bi ih hakirati korisnik kućnog računala, rekao je Michaud.

Drugih 50 milijardi dolara vrijednih bitcoina pohranjeno je u novčanicima stvorenim između tada i kraja 2015. Većina njih nije ranjiva, ali barem 2 posto njih jest, za oko dodatnih 500 milijuna dolara, rekao je Unciphered. Tu su i druge valute s uslugama novčanika koje su posuđene od Libbitcoina, uključujući dogecoin i litecoin.

Otkrivanje ranjivosti bilo je samo pola izazova. Unciphered je još morao smisliti kako reći milijunima ljudi da premjeste svoja sredstva, a da ne odaju postojanje velike ranjivosti.

Nažalost, mnoga kripto mjesta koja su koristila pogrešan program prestala su poslovati, kao i Thomas.

Nešifrirani pravni savjetnik Stewart Baker, bivši glavni savjetnik u Agenciji za nacionalnu sigurnost, pokušavajući odrediti što je ispravno učiniti, čak je u kolumni prije godinu dana iznio ideju da bi “bijeli vitez” mogao ukrasti sve što je ranjivo na hipotetski grešku u kriptovaluti i zadržati je dok sortirate tko je što doista posjedovao.

Napomenuo je da je svojevrsni presedan uspostavljen 2021., kada je haker ukrao nevjerojatnih 600 milijuna dolara u virtualnoj valuti s platforme za posuđivanje Poly Network i vratio ju uz naknadu od 500.000 dolara i obećanje da neće biti kazneno gonjen.

Ali nitko nije želio riskirati kazneni progon ili građansku odgovornost krađom od mnogo ljudi odjednom, i na kraju “ono što smo odlučili učiniti”, prisjetio se Baker, “bilo je pronaći tvrtku koja je bila u poziciji popraviti ili obavijestiti što više ljudi koliko god je to moguće, u nadi da ćemo dosta toga moći popraviti prije nego što točna priroda problema procuri.”

Naposljetku je Michaud shvatio da je najveći stari korisnik programa novčanika koji je još prisutan bio onaj kojeg je koristio Sullivan, Blockchain.com.

Prva interakcija između dviju tvrtki bila je puna sumnje. Obje su željele da druga strana potpiše ugovor o tajnosti podataka, ali ni one same nisu.

“U kriptovaluti morate biti prilično skeptični prema ljudima koji zovu s nečim što zvuči dramatično, jer postoji toliko mnogo prevaranata”, prisjetio se predsjednik Blockchain.com Lane Kasselman. “Bilo je nejasno tko su oni i koji je bio opseg toga.”

Ali njihove reference su provjerene, a Baker se pridružio grupnom pozivu kako bi objasnio da su hakeri Unciphered dobronamjerni stručnjaci za sigurnost, a ne iznuđivači. Blockchain.com je pristao pomoći. Razradio je način za automatsko ažuriranje novčanika onih koji su posjetili njegovu stranicu, promijenili njegovu aplikaciju i poslali e-poštu vlasnicima više od 1,1 milijuna pogođenih novčanika počevši od 10. listopada, manje od 2 posto od 90 milijuna novčanika koje ima stvorio.

Naravno, i mnogi od dojavljenih bili su sumnjičavi. Jedan od njih objavio je obavijest u chatu za kripto entuzijaste i tražio nagađanja o tome što se događa. Stručnjak za sigurnost Dan Guido je to vidio i objavio na X, a netko je odgovorio pokazujući na obavijest na stranici Unciphereda govoreći da će u budućnosti imati nešto za objaviti vezano uz novčanik.

Guido je zatim zamolio ljude u svojoj tvrtki za sigurnosni inženjering, Trail of Bits, da vide na što je Unciphered možda mislio. Problem su riješili za nekoliko dana, ali su pristali šutjeti na zahtjev Unciphereda.

“Uspjeli su ovo držati u tajnosti 20 mjeseci, što je suludo, a to je ono što je potrebno”, rekao je Guido. “Sposobnost ljudi da to iskoriste iznimno je velika.”

Potrošači mogu provjeriti jesu li im novčanici ranjivi na www.keybleed.com.

Nažalost, Sullivanov novčanik nije bio među onima koji su patili od sigurnosne greške — uglavnom zato što je on kreirao svoj novčanik 2014., nakon što je Blockchain.info poboljšao slučajnost svojih novčanika. Da je sigurnost bila gora, mogao bi dobiti svoj novac natrag kada je Blockchain.info obavijestio klijente s ranjivim računima.

Ionako je završio s kriptovalutama, nakon što je pokrenuo tri tvrtke u industriji i završio malo siromašniji nego kad je počeo. Sada radi na umjetnoj inteligenciji.

“Kripto je prilično neprijateljsko mjesto, da budem iskren, puno ljudi koji napadaju ono što gradite, bilo da ga pokušavaju hakirati, bilo izazove od strane regulatora ili drugih ljudi zainteresiranih da vide skidanje bitcoina”, bivši istinit rekao je vjernik.

No rekao je da je sretan što je završio tako što je pomogao velikom broju stranaca koji su još uvijek uloženi emocionalno i financijski: “Poštujem one koji još uvijek vode tu bitku.”