Hlavní navigace

Rekonstrukce případu Bitcash.cz: jak se kradou bitcoiny

Roman Bořánek

Virtuální měna Bitcoin v posledních dnech ukazuje dvě tváře. Tržní cena opět prudce letí nahoru, ale také se stále častěji šíří informace o podvodech a krádežích, které jsou ze samé podstaty Bitcoinu nezvratitelné. Naposledy podlehl český portál Bitcash.cz, který provozoval směnárnu a webovou peněženku.

Když se uživatelé Bitcash.cz počátkem týdne chtěli přihlásit ke svému uživatelskému účtu, dostalo se jim nemilé zprávy: „Server Bitcash.cz byl napaden hackery. Dne 11. 11. ve večerních hodinách bylo prolomeno zabezpečení serveru a byla vykradena Bitcoin peněženka. Bohužel, noční můra se stala skutečností. Řešíme způsob útoku, zabezpečení a co můžeme dál podniknout. Budeme vás informovat.“

Česká komunita kolem virtuální měny Bitcoin tak dostala velkou ránu. Portál působil už od roku 2011 a bez pochyb byl českou „bitcoinovou jedničkou“. Jeho aktivity byly poměrně široké, ale daly by se shrnout takto: fórum, automatizovaná směnárna a webová peněženka. Dosud o útoku samotném víme jen velmi málo.

„Vzhledem k tomu že je již podáno trestní oznámení na neznámého pachatele, jak jsme byli poučeni, nemůžeme se konkrétně k záležitosti vyjadřovat. Vše je předmětem vyšetřování, které probíhá,“ odmítá blíže komentovat provozovatel portálu Karel Minx známý pod přezdívkou Carlos. S jistotou však víme jedno – opravdu byly odcizeny všechny uložené bitcoiny.

Rekonstrukce

Provozovatel sice mlčí, ale jistá vodítka k případu zveřejnili samotní uživatelé, respektive klienti. Poté, co se útočníkovi podařilo získat kontrolu nad peněženkou, pravděpodobně odeslal 484 BTC na adresu 1Dxvnp7HuBC4g3L199q2up9o6H21PUk­ZLQ. Transakci se podařilo vystopovat jednomu uživateli podle předchozích transakcí s Bitcash.cz. V přepočtu byly odcizeny cca 3–4 milióny korun, podle současného velmi volatilního kurzu.

Pikantní je, že pokud jste adresu zadali do Googlu, vylezlo vám, že je určená pro dary známému serveru WikiLeaks, alespoň podle stránky Bitcoin-Charity.info. Ta ale nedlouho poté zmizela a podle všeho si s námi útočník jen hrál a stránku sám stvořil. Celé toto postrádá vyšší smysl, v podstatě šlo o zbytečné „tahání za nos“. Na stránkách WikiLeaks si navíc můžeme potvrdit, že organizace používá jinou adresu. Uživatelům Bitcash.cz ještě k tomu přišly phishingové e-maily, které od nich lákaly další bitcoinové příspěvky na vypátrání pachatele.

Kde jsou bitcoiny teď? Ze zmíněné adresy už se rozutekly po různě vysokých částkách. To je na Bitcoinu ostatně velmi ironické. Můžete přesně sledovat jak ukradené bitcoiny protékají sítí, ale nemůžete proti tomu dělat nic. Poškození klienti se teď sdružují na facebookové stránce Bitcash.cz  krádež nebo podvod? a řeší další společný postup, včetně možné žaloby na provozovatele.

Ten si však odpovědnost nepřipouští: „Přesto, že mne opravdu mrzí ztráta všech uživatelů a škoda, jakou to způsobuje samotnému Bitcoin projektu, musím říct, že svědomí mám čisté. Varoval jsem vždy neinvestovat do BTC prostředky, které jsou pro vás více než zanedbatelné a být si vědom všech rizik. Stejně tak jako Bitcoin software samotný, byla i Bitcash peněženka a směnárna označena jako beta, tedy prototyp služby, která může způsobit nevratnou škodu či ztrátu dat. Podmínky obsahovaly ustanovení o tom, že za jakoukoliv ztrátu nejsme schopni ručit.“

Soudní premiéra

Jak už bylo zmíněno, provozovatel Bitcash.cz podal trestní oznámení na neznámého pachatele. Jeho znění bohužel momentálně není k dispozici. Každopádně bude zajímavé sledovat, jak se k celé věci policie a posléze zřejmě soud postaví. Bitcoin u nás, stejně jako ve většině dalších států, nemá pevné ukotvení v právním řádu.

Na jednu stranu je to jen sekvence bitů, na stranu druhou ji lze směnit za „tradiční“ měny. Směna je to navíc institucionalizovaná, na světě funguje řada burz, kterými denně protékají částky ve stamiliónech korun. Podobný názor má i jistý americký soudce, který rozhodoval v případu provozování byznysu s bitcoiny na konceptu Ponziho schématu.

„Je zřejmé, že Bitcoin může být užíván jako peníze. Může být použit k nákupu zboží nebo služeb a také k poplacení nákladů na živobytí. Bitcoin je limitován pouze na místa, která ho přijímají jako měnu. Nicméně také může být směněn za tradiční měny, jako je americký dolar, euro, japonský jen a čínský jüan. Z toho důvodu je Bitcoin měna, respektive forma peněz,“ prohlásil v srpnu při projednávání případu. Nutno ale dodat, že ve Spojených státech mají soudci podstatně větší manévrovací prostor než u nás.

Kauze Bitcash.cz už se dostalo slušné mediální pozornosti. Dost dobře se tak může stát, že případ nakonec vyústí v legislativní úpravy spojené například i se zdaněním virtuální měny.

Zabezpečení

Nyní už si povězme něco o zabezpečení služeb, kterým svěřujete své bitcoiny. Základem je vědět, že abyste mohli manipulovat s bitcoiny na dané adrese, potřebujete znát její privátní klíč. Jedná se v podstatě o heslo, jen s tím rozdílem, že si ho nemusíte pamatovat. Klíč je uložen ve vašem počítači a manipuluje s ním desktopový klient (chcete-li peněženka). V důsledku tedy uživatel ani nemusí vědět, že něco takového existuje.

V případě burz, kterou do jisté míry byla i Bitcash.cz, je vyžadováno, aby BTC byly převedeny na jejich adresu, což je naprosto logické. Obchodování probíhá v reálném čase a finanční prostředky, jak bitcoiny, tak třeba dolary, musí být v danou chvíli k dispozici. Jakmile své bitcoiny převedete na adresu burzy, jsou podle protokolu Bitcoin zkrátka její a musíte se spokojit se zárukami „starého světa“. Čím větší burza, tím pravděpodobně lepší zabezpečení. Čím jasnější vlastnická a provozní struktura, tím menší pravděpodobnost, že firma jednoho hezkého dne zmizí i s vašimi penězi. Stoprocentní jistotu, že o vložené bitcoiny nepřijdete, však nemáte nikdy. V Číně by mohli vyprávět.

Webové peněženky

Zpět k peněženkám. Ty webové se dají shrnout do dvou kategorií: sdílené a soukromé. Sdílené fungují v podobně jako ty burzovní. Služba má jednu škatulku, do které se ukládají bitcoiny všech uživatelů a zároveň se všemi může manipulovat. Proč to lidi vůbec používají? Hlavní výhodou tohoto řešení je zejména jednoduché a efektivní zakrytí identity. Uživatel sice může nakládat se svými prostředky, ale v průběhu transakce ho zastupuje peněženka. A z veřejného záznamu transakcí (block chain) tedy nelze vystopovat konkrétního uživatele.

U soukromých peněženek už každý uživatel spravuje vlastní adresy. Aby se však k takové peněžence bylo možné přihlásit odkudkoliv, soukromý klíč musí být uložen někde na serveru. Soukromé webové peněženky jsou z principu bezpečnější, ale tohle je jejich Achillova pata. Pokud se útočníkovi podaří proniknout na server, může klíče získat.

Některé peněženky proto zapojují ještě další mechanismy, díky kterým dokážou bezpečí uživatelů podstatně vylepšit. Zářným příkladem je Blokchain.info, zřejmě nejpoužívanější webová peněženka. Ta u sebe sice uchovává privátní klíče, ale v šifrované podobě. Dešifrovat je může jedině uživatel, který zná heslo. A co je zásadní, dešifrování probíhá až v prohlížeči. Prohlížečová část peněženky už je navíc open-source a autoři časem plánují zveřejnit i část serverovou.

I Blockchain.info má potenciální bezpečnostní mezery, ale oproti výše zmíněným jsou podstatně menší. K problému by mohlo dojít, například pokud by útočník pronikl na server a změnil kód tak, aby získal hesla k peněženkám zadávaná v prohlížeči. I kdyby se mu to nějakým způsobem podařilo, nejspíš byl by zanedlouho odhalen. Získat by tak mohl pouze hesla těch uživatelů, kteří se k peněžence přihlašovali v době jeho působení. Pro poškozené to asi nebude velká útěcha, ale logika je jasná – při tomto zabezpečení nelze vybrakovat všechny adresy během pár sekund.

Anketa

Máte Bitcoiny?

Burzy a sdílené peněženky obvykle praktikují také metodu zvanou „cold storage“, která sice nezabrání samotnému útoku, ale dokáže omezit škody. Bohužel, v případě Bitcash.cz podle všeho použita nebyla. Její princip spočívá v tom, že server má k dispozici pouze část z celkového počtu vložených bitcoinů. Zbytek je uložen na adresách s privátními klíči off-line, například na flash disku v trezoru. Pokud tedy proběhne úspěšný útok, služba a její uživatelé ztratí maximálně tu část financí, která byla on-line.

Závěr

Bezpečí má svou cenu a pohodlí také. Pokud používáte bitcoiny, budete muset učinit kompromis, oboje najednou mít nemůžete. Pro počítačově zběhlé jedince asi nebude velký problém používat oficiálního klienta Bitcoin-Qt, který skladuje celý block chain, poctivě šifrovat data a bránit malwaru, aby nadělal škody. Ale ty webové peněženky jsou zkrátka pohodlnější. Doporučil bych používat spíš soukromé peněženky se šifrováním klíčů, které se pro běžné použití zdají být vhodným kompromisem.

Hlavní je však používat selský rozum a nenasypat všechny bitcoinové úspory do peněženky, na kterou jste před chvilkou narazili. Zjistěte si, jak řeší bezpečnost, kdo ji provozuje, jaké zkušenosti mají ostatní uživatelé apod. Peníze také nesvěříte náhodnému kolemjdoucímu. Do budoucna se jako zajímavé řešení jeví malé počítače obsahující klíče a sloužící pouze k podepisování transakcí. Samozřejmě bez připojení k síti. Jednou z prvních vlaštovek je Trezor, který by se měl dostat do prodeje začátkem příštího roku.

Našli jste v článku chybu?

15. 11. 2013 7:08

To je zajímavé, jak se komunita kolem bitcoinu pořád vymezuje vůči státu, propaguje bitcoin jako prostředek k daňovým únikům, které bude pro stát těžší dohledat -- a když je někdo o bitcoiny okraden, najednou se to hemží trestními oznámeními a stát je všem dobrý.

15. 11. 2013 10:42

Jsem rád, že jsi použil slovní spojení „díky státu“ namísto „kvůli státu“. Já si totiž opravdu myslím, že státu je třeba děkovat za to, že je nelegální jen tak zastřelit člověka.

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: 7 druhů hotových těst na vánoční cukroví

7 druhů hotových těst na vánoční cukroví

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte