Після того, як технічний підприємець та інвестор втратив свій пароль для отримання 100 000 доларів у біткойнах і найняв експертів, щоб зламати гаманець, де він зберігав його, вони не змогли йому допомогти. Але в процесі вони знайшли спосіб зламати достатню кількість гаманців іншого програмного забезпечення, щоб вкрасти 1 мільярд доларів або більше.
У вівторок команда публікує інформацію про те, як вони це зробили. Вони сподіваються, що це достатньо даних, щоб власники мільйонів гаманців усвідомили, що вони під загрозою, і перемістили свої гроші, але не так багато даних, щоб злочинці могли зрозуміти, як здійснити те, що стане одним із найбільших пограбувань усіх часів.
Їхній стартап Unciphered працював місяцями, щоб попередити понад мільйон людей про те, що їхні гаманці під загрозою. Мільйонам інших не повідомили, часто тому, що їхні гаманці були створені на криптовалютних веб-сайтах, які припинили свою діяльність.
Історія вразливості цих гаманців підкреслює величезний ризик, пов’язаний з експериментальними валютами, окрім шалених коливань вартості та швидких змін правил. Багато гаманців було створено з кодом, що містить серйозні недоліки, і компанії, які використовували цей код, можуть зникнути. Крім того, це протверезне нагадування про те, що під будь-якою інфраструктурою програмного забезпечення, навіть тієї, яка явно призначена для забезпечення фінансування, є програми з відкритим кодом, за якими мало хто або взагалі не стежить.
«Кожна створена людиною технологія містить недоліки, які походять від її творців», — сказав співзасновник Unciphered Ерік Мішо.
Стефан Томас, технолог, який створив програмне забезпечення, яке використовувалося для створення гаманців, сказав The Post, що він зробив це як хобі та взяв ключову частину коду з програми, опублікованої на сторінці студента Стенфордського університету, не перевіряючи, щоб побачити якби це було звуком.
«Натомість я був одержимий тим, щоб переконатися, що я не роблю помилок у своєму власному коді», — сказав Томас. «Мені шкода всіх, хто постраждав від цієї помилки».
Unciphered називає недолік «Randstorm», оскільки він походить від програм-гаманців, які створювали криптографічні ключі, які були недостатньо випадковими. Замість того, щоб створювати електронні ключі, які були одним із трильйона, і тому стороннім людям було дуже важко підробити, вони зробили ключі, які були одним із тисячі — фактор випадковості, який легко зламати.
«Відкритий код старіє, як молоко. Згодом це зіпсується», — сказав Кріс Вісопал, співзасновник компанії з безпеки Veracode, який консультував Unciphered, коли вона розбиралася з проблемою.
Компанія поділилася своїм процесом і висновками з The Washington Post перед тим, як вийти на біржу.
Ризик поганого коду з відкритим вихідним кодом був оголений у 2021 році, коли було виявлено, що Log4j, повсюдний інструмент, який використовується постачальниками програмного забезпечення, про який мало хто навіть здогадувався, може використовуватися для виконання шкідливого коду. Це відкриття викликало паніку у компаній у всьому світі та зробило безпеку з відкритим кодом головним пріоритетом для Агентства з кібербезпеки та безпеки інфраструктури Міністерства внутрішньої безпеки США, яке зараз змушує компанії розробити всі програми, від яких вони залежать.
Людиною, яка запустила м’яч у рух, є інвестор Нік Салліван, один з перших віруючих у біткойн, який використав сайт Blockchain.info, який згодом перейменувався на Blockchain.com, щоб створити гаманець у 2014 році. Незабаром після цього він стер пам’ять свого комп’ютера, не усвідомлюючи цього. він не зберіг у своєму диспетчері паролів згусток літер і цифр, які б надали йому доступ до його крипто-облікового запису.
«Це був досить неприємний збіг обставин», — сказав Салліван The Post. На той момент він втратив близько 18 000 доларів. Зараз ця сума становить 100 000 доларів — достатньо, щоб він міг найняти хакерів і ветеранів Агентства національної безпеки з Unciphered, щоб спробувати повернути її.
Unciphered, одна з небагатьох організацій, які займаються відновленням електронних коштів за певну плату, почала пошуки грошей Саллівана в січні 2022 року.