Rekonstrukce případu Bitcash.cz: jak se kradou bitcoiny

Roman Bořánek 15. 11. 2013

Virtuální měna Bitcoin v posledních dnech ukazuje dvě tváře. Tržní cena opět prudce letí nahoru, ale také se stále častěji šíří informace o podvodech a krádežích, které jsou ze samé podstaty Bitcoinu nezvratitelné. Naposledy podlehl český portál Bitcash.cz, který provozoval směnárnu a webovou peněženku.

Když se uživatelé Bitcash.cz počátkem týdne chtěli přihlásit ke svému uživatelskému účtu, dostalo se jim nemilé zprávy: „Server Bitcash.cz byl napaden hackery. Dne 11. 11. ve večerních hodinách bylo prolomeno zabezpečení serveru a byla vykradena Bitcoin peněženka. Bohužel, noční můra se stala skutečností. Řešíme způsob útoku, zabezpečení a co můžeme dál podniknout. Budeme vás informovat.“

Česká komunita kolem virtuální měny Bitcoin tak dostala velkou ránu. Portál působil už od roku 2011 a bez pochyb byl českou „bitcoinovou jedničkou“. Jeho aktivity byly poměrně široké, ale daly by se shrnout takto: fórum, automatizovaná směnárna a webová peněženka. Dosud o útoku samotném víme jen velmi málo.

„Vzhledem k tomu že je již podáno trestní oznámení na neznámého pachatele, jak jsme byli poučeni, nemůžeme se konkrétně k záležitosti vyjadřovat. Vše je předmětem vyšetřování, které probíhá,“ odmítá blíže komentovat provozovatel portálu Karel Minx známý pod přezdívkou Carlos. S jistotou však víme jedno – opravdu byly odcizeny všechny uložené bitcoiny.

Rekonstrukce

Provozovatel sice mlčí, ale jistá vodítka k případu zveřejnili samotní uživatelé, respektive klienti. Poté, co se útočníkovi podařilo získat kontrolu nad peněženkou, pravděpodobně odeslal 484 BTC na adresu 1Dxvnp7HuBC4g3L199q2up9o6H21PUk­ZLQ. Transakci se podařilo vystopovat jednomu uživateli podle předchozích transakcí s Bitcash.cz. V přepočtu byly odcizeny cca 3–4 milióny korun, podle současného velmi volatilního kurzu.

Pikantní je, že pokud jste adresu zadali do Googlu, vylezlo vám, že je určená pro dary známému serveru WikiLeaks, alespoň podle stránky Bitcoin-Charity.info. Ta ale nedlouho poté zmizela a podle všeho si s námi útočník jen hrál a stránku sám stvořil. Celé toto postrádá vyšší smysl, v podstatě šlo o zbytečné „tahání za nos“. Na stránkách WikiLeaks si navíc můžeme potvrdit, že organizace používá jinou adresu. Uživatelům Bitcash.cz ještě k tomu přišly phishingové e-maily, které od nich lákaly další bitcoinové příspěvky na vypátrání pachatele.

Kde jsou bitcoiny teď? Ze zmíněné adresy už se rozutekly po různě vysokých částkách. To je na Bitcoinu ostatně velmi ironické. Můžete přesně sledovat jak ukradené bitcoiny protékají sítí, ale nemůžete proti tomu dělat nic. Poškození klienti se teď sdružují na facebookové stránce Bitcash.cz  krádež nebo podvod? a řeší další společný postup, včetně možné žaloby na provozovatele.

Ten si však odpovědnost nepřipouští: „Přesto, že mne opravdu mrzí ztráta všech uživatelů a škoda, jakou to způsobuje samotnému Bitcoin projektu, musím říct, že svědomí mám čisté. Varoval jsem vždy neinvestovat do BTC prostředky, které jsou pro vás více než zanedbatelné a být si vědom všech rizik. Stejně tak jako Bitcoin software samotný, byla i Bitcash peněženka a směnárna označena jako beta, tedy prototyp služby, která může způsobit nevratnou škodu či ztrátu dat. Podmínky obsahovaly ustanovení o tom, že za jakoukoliv ztrátu nejsme schopni ručit.“

Soudní premiéra

Jak už bylo zmíněno, provozovatel Bitcash.cz podal trestní oznámení na neznámého pachatele. Jeho znění bohužel momentálně není k dispozici. Každopádně bude zajímavé sledovat, jak se k celé věci policie a posléze zřejmě soud postaví. Bitcoin u nás, stejně jako ve většině dalších států, nemá pevné ukotvení v právním řádu.

Na jednu stranu je to jen sekvence bitů, na stranu druhou ji lze směnit za „tradiční“ měny. Směna je to navíc institucionalizovaná, na světě funguje řada burz, kterými denně protékají částky ve stamiliónech korun. Podobný názor má i jistý americký soudce, který rozhodoval v případu provozování byznysu s bitcoiny na konceptu Ponziho schématu.

„Je zřejmé, že Bitcoin může být užíván jako peníze. Může být použit k nákupu zboží nebo služeb a také k poplacení nákladů na živobytí. Bitcoin je limitován pouze na místa, která ho přijímají jako měnu. Nicméně také může být směněn za tradiční měny, jako je americký dolar, euro, japonský jen a čínský jüan. Z toho důvodu je Bitcoin měna, respektive forma peněz,“ prohlásil v srpnu při projednávání případu. Nutno ale dodat, že ve Spojených státech mají soudci podstatně větší manévrovací prostor než u nás.

Kauze Bitcash.cz už se dostalo slušné mediální pozornosti. Dost dobře se tak může stát, že případ nakonec vyústí v legislativní úpravy spojené například i se zdaněním virtuální měny.

Zabezpečení

Nyní už si povězme něco o zabezpečení služeb, kterým svěřujete své bitcoiny. Základem je vědět, že abyste mohli manipulovat s bitcoiny na dané adrese, potřebujete znát její privátní klíč. Jedná se v podstatě o heslo, jen s tím rozdílem, že si ho nemusíte pamatovat. Klíč je uložen ve vašem počítači a manipuluje s ním desktopový klient (chcete-li peněženka). V důsledku tedy uživatel ani nemusí vědět, že něco takového existuje.

V případě burz, kterou do jisté míry byla i Bitcash.cz, je vyžadováno, aby BTC byly převedeny na jejich adresu, což je naprosto logické. Obchodování probíhá v reálném čase a finanční prostředky, jak bitcoiny, tak třeba dolary, musí být v danou chvíli k dispozici. Jakmile své bitcoiny převedete na adresu burzy, jsou podle protokolu Bitcoin zkrátka její a musíte se spokojit se zárukami „starého světa“. Čím větší burza, tím pravděpodobně lepší zabezpečení. Čím jasnější vlastnická a provozní struktura, tím menší pravděpodobnost, že firma jednoho hezkého dne zmizí i s vašimi penězi. Stoprocentní jistotu, že o vložené bitcoiny nepřijdete, však nemáte nikdy. V Číně by mohli vyprávět.

Webové peněženky

Zpět k peněženkám. Ty webové se dají shrnout do dvou kategorií: sdílené a soukromé. Sdílené fungují v podobně jako ty burzovní. Služba má jednu škatulku, do které se ukládají bitcoiny všech uživatelů a zároveň se všemi může manipulovat. Proč to lidi vůbec používají? Hlavní výhodou tohoto řešení je zejména jednoduché a efektivní zakrytí identity. Uživatel sice může nakládat se svými prostředky, ale v průběhu transakce ho zastupuje peněženka. A z veřejného záznamu transakcí (block chain) tedy nelze vystopovat konkrétního uživatele.

U soukromých peněženek už každý uživatel spravuje vlastní adresy. Aby se však k takové peněžence bylo možné přihlásit odkudkoliv, soukromý klíč musí být uložen někde na serveru. Soukromé webové peněženky jsou z principu bezpečnější, ale tohle je jejich Achillova pata. Pokud se útočníkovi podaří proniknout na server, může klíče získat.

Některé peněženky proto zapojují ještě další mechanismy, díky kterým dokážou bezpečí uživatelů podstatně vylepšit. Zářným příkladem je Blokchain.info, zřejmě nejpoužívanější webová peněženka. Ta u sebe sice uchovává privátní klíče, ale v šifrované podobě. Dešifrovat je může jedině uživatel, který zná heslo. A co je zásadní, dešifrování probíhá až v prohlížeči. Prohlížečová část peněženky už je navíc open-source a autoři časem plánují zveřejnit i část serverovou.

I Blockchain.info má potenciální bezpečnostní mezery, ale oproti výše zmíněným jsou podstatně menší. K problému by mohlo dojít, například pokud by útočník pronikl na server a změnil kód tak, aby získal hesla k peněženkám zadávaná v prohlížeči. I kdyby se mu to nějakým způsobem podařilo, nejspíš byl by zanedlouho odhalen. Získat by tak mohl pouze hesla těch uživatelů, kteří se k peněžence přihlašovali v době jeho působení. Pro poškozené to asi nebude velká útěcha, ale logika je jasná – při tomto zabezpečení nelze vybrakovat všechny adresy během pár sekund.

Anketa

Máte Bitcoiny?

Burzy a sdílené peněženky obvykle praktikují také metodu zvanou „cold storage“, která sice nezabrání samotnému útoku, ale dokáže omezit škody. Bohužel, v případě Bitcash.cz podle všeho použita nebyla. Její princip spočívá v tom, že server má k dispozici pouze část z celkového počtu vložených bitcoinů. Zbytek je uložen na adresách s privátními klíči off-line, například na flash disku v trezoru. Pokud tedy proběhne úspěšný útok, služba a její uživatelé ztratí maximálně tu část financí, která byla on-line.

Závěr

Bezpečí má svou cenu a pohodlí také. Pokud používáte bitcoiny, budete muset učinit kompromis, oboje najednou mít nemůžete. Pro počítačově zběhlé jedince asi nebude velký problém používat oficiálního klienta Bitcoin-Qt, který skladuje celý block chain, poctivě šifrovat data a bránit malwaru, aby nadělal škody. Ale ty webové peněženky jsou zkrátka pohodlnější. Doporučil bych používat spíš soukromé peněženky se šifrováním klíčů, které se pro běžné použití zdají být vhodným kompromisem.

Hlavní je však používat selský rozum a nenasypat všechny bitcoinové úspory do peněženky, na kterou jste před chvilkou narazili. Zjistěte si, jak řeší bezpečnost, kdo ji provozuje, jaké zkušenosti mají ostatní uživatelé apod. Peníze také nesvěříte náhodnému kolemjdoucímu. Do budoucna se jako zajímavé řešení jeví malé počítače obsahující klíče a sloužící pouze k podepisování transakcí. Samozřejmě bez připojení k síti. Jednou z prvních vlaštovek je Trezor, který by se měl dostat do prodeje začátkem příštího roku.

Našli jste v článku chybu?
DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo

Vitalia.cz: Pravda o českých spermiích

Pravda o českých spermiích

120na80.cz: V těhotenství nohy lehké jako pírko

V těhotenství nohy lehké jako pírko

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

DigiZone.cz: E! a zákulisí turné Mariah Carey

E! a zákulisí turné Mariah Carey

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Lupa.cz: Blokátor reklam už vám na Facebooku nepomůže

Blokátor reklam už vám na Facebooku nepomůže

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Vitalia.cz: Je bílý kokos fakt tak úžasný? Ano, je!

Je bílý kokos fakt tak úžasný? Ano, je!

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Podnikatel.cz: OSA zdražuje poplatky. Zaplatíte o polovinu víc

OSA zdražuje poplatky. Zaplatíte o polovinu víc

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Vitalia.cz: dTest vybral nejlepší pomerančový džus

dTest vybral nejlepší pomerančový džus

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Podnikatel.cz: Novela zákoníku práce. Řeší homeworking

Novela zákoníku práce. Řeší homeworking