Linode.com kompromitován

Nic neni nemožné aaaa vlastně to už tu bylo u TOYO....

To nemá s bitcoinem moc společného, spíše je to hacknutý hosting. Útočníci si mohli vzít co chtěli, měli rootovský přístup do jednotlivých VPS. A našli bitcoiny. To je pak věřit nějakému hostingu a mít u něj citlivá data

V hyperkostce:

• Pokud se rozhodneš těžit v poolu, odměny z vytěžených bloků se shromažďují v tomto poolu a pak jsou ti posílány - typicky pokaždé, když tvoje odměna přesáhne nějakou částku (0,1-10 BTC, dá se to nastavit). To znamená, že když má pool 5000 uživatelů a mají nastavené posílání pokaždé, když se jim nahromadí 1 BTC, pool má průměrně 2500 BTC „někde bokem“ uloženo. Tady měl pool 3094 BTC. Už nemá.
• Pokud chceš spekulovat, tedy pardon, používat některé online směnárny, funguje to často tak, že si tam pošleš nějaký kredit v BTC a ten až následně, ve vhodné chvíli, směníš za dolary. Dtto opačně, pošleš si tam dolary, směníš za BTC a až potom si ty BTC můžeš poslat k sobě. Navíc dost uživatelů používá směnárnu jako „on-line peněženku“, takže vlastně BTC nemají u sebe, ale když potřebují něco zaplatit, pošlou tam BTC rovnou z účtu ve směnárně. Lamy, které vyzkoušely Bitcoin kvůli tomu, že na Blackmarketu je levný fet, si nebudou držet peněženku na vlastním počítači, protože tomu nerozumí, nechce se jim a neumí si to zabezpečit. Výsledkem je, že ve směnárně leží docela slušné peníze, v tomto případě v přepočtu čtyři megakoruny.
• Ve Faucetu bylo jenom 5 BTC, což nás teď nezajímá.
• Suma sumárum:
• Jeden z největších poolů, který protočí miliony korun týdně, má privátní klíče uložené na VPS za dvacet dolarů.
• Není moudré, když má jeden pool takový market share (jako ne, že bych to Markovi nepřál, ale je to SPOF).
• Lidi věří směnárnám a on-line peněženkám fakt dost. Ta směnárna nebyla největší a přitom tam byly čtyři miliony korun v BTC + něco v dolarech.
• Ani veliký VPS poskytovatel není zárukou, že nebude mít v systému díru.

<ezdiy> slush: njn, me treba fascinoval wedos
<ezdiy> kdyz klonoval image debianu s ~/.ssh/id_rsa.pub + id_rsa
<ezdiy> si dostal box, a hele copa to tu mame? zkusis ssh vedle, lol

Zadne centralni misto opravdu neexistuje. V tomhle pripade slo o bitcoiny konkretnich webovych sluzeb, ktere byly hostovane na Linode. V mem pripade mirror bitcoin poolu (3094 BTC v "operacni" penezence bylo urceno pro pravidelne vyplaty mineru), Gavin u Linode hostoval Bitcoin Faucet (jednoducha aplikace pro venovani maleho mnozstvi bitcoinu zacatecnikum) a Bitcoinica (de facto bitcoinova burza) na Linode hostovala svou online penezenku pro deposity a vyplaty.

Smutne na tomhle je, ze utocnici meli pravdepodobne (dukazy nemam, ale vyplyva to ze situace) kontrolu nad celou Linode farmou delsi dobu, protoze meli cas vytipovat si konkretni ucty, ktere hostuji bitcoinove aplikace, a pak provedli synchronizovany uder. Takze to znamena, ze v Linode existuji superuzivatelske ucty, ktere maji neomezenou kontrolu nad celym systemem. Podle vyjadreni Linode doslo pouze k napraveni pristupovych prav, aby se podobny incident neopakoval (pravdepodobne proste zablokovali leaknuty ucet).

Dulezite je zduraznit, ze utok opravdu nevyuzival zadnou specialni vlastnost Bitcoinu, pouze utocnici usoudili, ze ukrast bitcoiny bude mit nejvetsi pomer cena/vykon. A opravdu, kdo si za cca hodinovou akci vydela ctvrt milionu dolaru?

Je to podobné jako ptát se:

Může mi někdo říct, jaká přidaná hodnota je v tom, když najdu nějaký ten dolar? Co s tím může dělat ten, kdo ho ode mě koupí za zlato? Proč by ho vlastně někdo chtěl koupit?

Bitcoin je prostě platidlo, podle některých lidí lepší, než zlato nebo dolary. Na rozdíl od zlata lze poslat přes Internet a na rozdíl od dolaru ho nevydává pochybná centrální banka.