Publicidad

$8 Millones en pérdidas por un error humano en Bitstamp

$8 Millones en pérdidas por un error humano en Bitstamp
$8 Millones en pérdidas por un error humano en Bitstamp

Publicidad







En enero Bitstamp sufrió un ataque a su sistema de almacenamiento en carteras “calientes” donde perdieron mas de 18.000 BTC. En su momento la reacción de la compañía fue el desactivar la web unas horas lo cual despertó los fantasmas de MtGox y algunos otros de los episodios más negros en la triste historia de los exchanges. Hasta hace dos días se sabía poco o nada de lo ocurrido, pero las filtraciones empiezan a desvelar muchos detalles.


La investigación y el error humano

Ayer en Scribd una cuenta de usuario sin ninguna actividad previa hizo pública información bastante creíble sobre la investigación que ha tenido lugar en torno al “caso Bitstamp”.

Se trata de un documento de 9 páginas detallando toda la investigación interna sobre el robo. Hasta ahora el exchange había declinado hacer pública ninguna información por motivos de confidencialidad de sus clientes, sin embargo esta publicación aporta mucha luz sobre el nivel de complejidad de los ataques y la adecuación de la respuesta de la compañía.

Los atacantes realizaron un ataque de phising avanzado teniendo como objetivo 5 empleados de Bitstamp. Estos empleados recibieron  archivos con malware pero siempre con temas relacionados a sus historias e intereses personales.

El ataque habría comenzado en noviembre de 2014 teniendo como objetivo al director tecnológico de Bitstamp al cual se le ofrecieron unas entradas para un festival de Punk-Rock que él rechazó. Unas semanas más tarde un nuevo intento tenía esta vez como objetivo al jefe de operaciones de la compañía Miha Grcar al que alguien haciéndose pasar por periodista intentó persuadir en una conversación de Skype de que abriese un archivo Word infectado. El 4 de diciembre el atacante consiguió acceso a través de Luka Kôdric, el administrador de sistemas de la compañía gracias a un e-mail con un asunto sobre otro proyecto en el que trabaja. A partir de este punto el ataque se ralentiza y no es hasta el 22 de diciembre que los intrusos acceden al servidor a través del ordenador de Luka Kôdric y consiguen el archivo wallet.dat; el 23 de diciembre se hacen con la contraseña del wallet.dat; y el 4 de enero extraen de él 18.000 BTC, valorados en 5 millones de dólares.

Reacción y perdidas para Bitstamp

Cuando se dieron cuenta del ataque ya era demasiado tarde para recuperar los fondos ya robados pero aún había mucho que defender en Bitstamp. La compañía lanzó una alerta de seguridad a todos sus empleados y se formó un grupo de respuesta al incidente. Restablecieron el servicio de forma segura utilizando servidores en la nube de Amazon y el día 8 de febrero comenzó la investigación dirigida por Stroz Friedberg.

La compañía decidió iniciar una reconstrucción completa del sistema en un entorno protegido, el informe dice:

“Reconstruir toda la plataforma de compra-venta fue una decisión cara pero necesaria, mucho mejor que intentar renovar la antigua plataforma.”

El informe también contiene una evaluación total de las pérdidas para Bitstamp derivadas de este ataque. En ella se tienen en cuenta los 18.866 BTC sustraídos del wallet, valorados en 5.263.614 dólares. Se estiman 2.000.000 dólares en pérdidas de clientes por cuestiones de confianza y reputación y por último se añaden 250.000 dólares para Stroz Friedberg por su investigación, 250.000 dólares para los desarrolladores por la reconstrucción de la plataforma y 150.000 dólares en consultoría y asesoría. En total un perjuicio para el exchange esloveno de casi 9 millones de dólares.

Nota: Bitstamp no ha reaccionado públicamente a la publicación de este informe.


2 comentarios

  1. Bitstamp ya reaccionó públicamente a la publicación del informe con su solicitud de remoción del mismo en Scribd. El domcumento fué eliminado a su petición.

No se puede comentar.

Publicidad
Otros artículos
Cerrar
App de envío de remesas Abra

La app de remesas Abra recibe $12 millones

bra, la Start-up que ha desarrollado una aplicación móvil para remesas usando Bitcoin, ha recaudado más de $ 12 millones en una reciente ronda de...