120 000 BTC-t loptak egy Bitcoin tőzsdéről (~19 millárd Ft)

Vagyis mivel a hírre elég jelentősen esett a bitcoin árfolyama (580USD->465USD->520USD), így most már csak 16 millárdot érnek a lopott coinok :)

http://www.coindesk.com/bitfinex-shuts-down-customer-bitcoin-stolen/

kb 1.5 éve már volt egy lopás náluk, akkor jóval kevesebb coin veszett el (10500 BTC), így a felhasználókat nem érintette. Valószínű ekkora tartalékaik nincsennek, így nem fogják tudni kifizetni az usereket.

Érdekes grafikon még: http://p2sh.info/dashboard/db/p2sh-statistics

Az elmúlt órák alatt az egész Bitcoin hálózatban 12.5%-ról 11.7%-ra esett a multisig (több, független aláírás szükséges a tranzakció indításához) walletben tárolt bitcoinok aránya. (valószínű a hackernek nem ilyen tárcája volt)

Korábbi, bitcoin váltókat érintő hackek:

Pár bitcoin lopások az elmúlt évekből:
- 06/2011 MyBitcoin: -4000 BTC
- 07/2011 MyBitcoin: -78739 BTC
- 07/2011 Mtgox: -25000 BTC
- 09/2011 Mooncoin: -4000 BTC
- 03/2012 Linode hosting: -46653 BTC
- 05/2012 Bitcoinica: -39000 BTC
- 07/2012 Bitcoinica: -40000 BTC
- 07/2012 BTC-E: -4500 BTC
- 10/2013 Inputs.io: -4100 BTC
- 02/2014 Mtgox: -740 000 BTC
- 01/2015 Bitstamp: -18000 BTC
- 02/2015 Bter: -7100 BTC
- 05/2015 Bitfinex: -10500 BTC
- 08/2015 Bitcoinica: -40000 BTC
- 09/2015 BitPay: -5000 BTC
- 10/2015 Cryptsy: -10000 BTC
- 10/2015 Purse.io: -10200 BTC
+ még nagyonsok: https://bitcointhefts.com/

2 lopás, felettébb tanúlságos története:
- Bitstamp: https://www.docdroid.net/159hk/270137312-bitstamp-incident-report-2-20-…
- Shapeshift: http://moneyandstate.com/looting-of-the-fox/

Hozzászólások

Én a bitcoinhoz (is) hülye vagyok, de ezt a mondatodat egyáltalán nem értem: "Az elmúlt órák alatt az egész Bitcoin hálózatban 12.5%-ról 11.7%-ra esett a multisig (több, független aláírás szükséges a tranzakció indításához) walletben tárolt bitcoinok aránya." Ennek nem pont fordítva kéne lennie?

A site olyan tárcában tárolta a bitcoinokat amiben a tranzakció indításához több, független személy digitális aláírása szükséges. (így biztonságosabb)

A támadó ezekből a tárcákból kivette a pénzt, így az egész hálózatban csökkent az ilyen tárcában tárolt bitcoinok aránya.

Így már értem. Azaz elvben biztonságosabb tárcákból lett ellopva a pénz - ém meg úgy értettem a félmondatot, hogy gyengébb biztonságú tárcákban volt, és az emberek a lopás hatására áttették a biztonságosabba. (De azért kicsit motoszkál a fejemben, hogy ha a mutisig a biztonságosabb, akkor mennyire lesz majd könnyű a gyengébb biztonságúból lopni.)
=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

A Bitfinex (allitolag az amerikai jogszabalyok miatt) nem coldwallet(ek)ben, hanem per user walletekben tartotta a coint, ezeket pedig BitGo-val vedte.

Namost jelenleg nagyon ugy tunik, hogy a BitGo okent es dalolva alairta a 120k-s tranzakciot, mindenfele felso hatar nelkul.

Ezekutan nyilvan minden epeszu ember elviszi a coint onnan, ahol BitGo-t hasznalnak - a nagyon paranoiasok mondjuk helybol paperwalletbe...

Akkor ez (is) álljon itt figyelmeztetésül azoknak, akik semmiféle audittal, biztonságot hírből sem ismerő, stb startup cégecskékre bízzák a pénzüket, ráadásul direkt olyan anonim formában, hogy esélyük se legyen visszakapni.

--

"direkt olyan anonim formában, hogy esélyük se legyen visszakapni."

A bitcoin tőzsdére pénzt berakókról ill. ott kereskedőkről sok mindent el lehet mondani, de hogy anonimek volnának, azt nagyon nem :)

Az esély se legyen a visszakapásról meg csak annyit, hogy az mt.gox esetén (ami ugyanilyen tőzsde és ennek a pénznek a többszörösét lopták tőle) ezek a károsultak tizezrével perlik japánban hivatalos biróságon a céget és várják a kártéritést és nagyon úgy néz ki, hogy lesz is kártérités. (biztos, hogy csak a töredéke lesz megtéritve, de akkor is)

Más kategória volt, persze. Hibázott a felügyelet is, persze.
De ettől még egy noname vagyontalan kft nevében bocsátottak ki 50 milliárd forint értékben kötvényt és semmilyen BEVA és OBA védelem nincs a kötvényen, és ezt a szemetet vették meg ott is a "szegény károsultak", akik csak a hozamot nézték...

Az már más kérdés, hogy a nagy lakossági tiltakozás és/vagy sok ott parkoltatott fideszes vagy fidesz-közeli pénz miatt - akár csak részben is, de - kárpótolják azokat a felelőtlen embereket, akik erre a szerencsejátékra tették fel a pénzüket. Természetesen ezt a felelősen gazdálkodó befektetési cégek fogják megfizetni, és a sor végén azok az emberek, akik a kvesztor helyett inkább a kisebb hozamú, de megbízhatóbb cégeket preferálták...

bocs már, hogy beleszólok, de a BTC az nagyon nem bankbetét.
Ha vettem volna mondjuk 10 milláért pl BTel (vagy egyéb más bedőlt céghez kapcsolódó) részvényt, uugy nem kártalanít engem senki.
Feltételezem akkor sem, ha maga a tőzsde dől be a pénzemmel együtt.

Hát igen, _sajnos_ kártalanít. Pedig az OBA alapban nem vonatkozna rá, vállalati kötvényre pedig a BEVA sem.

Szóval a politikai szándékon kívül kb. semmi más oka nincs a 30 mihályos kártalanításnak, és ennyi erővel a macsika-károsultakat is kártalaníthatnák a mi pénzünkből. (Értsd: a te fizetésedből és az én fizetésemből a bank által lenyúlt pénzből.)

Magam elé képzelek egy tipikus beszélgetés a Kun-Mediátornál:
– Jó napot kívánok. Szeretnék 2 helyet foglalni a következő görög útra.
– Jó napot kívánok. Nem szeretne inkább magas kamatra befektetni 10 millió forintot.
– Hogy a pics@'ba ne. Éppen annyi van nálam.
– Itt egy nyugta, hogy befizetett 10 millió forintot az egyhetes görög útra, 2 személyre. A befektetett pénzt és a búsás kamatokat 5 öv múlva, péntek 13-án veheti át.
– Köszönöm szépen. Viszontlátásra.
– Isten Önnel.

Pedig szerintem részben az. /nem követem napi szinten a fejleményeket, de azért feltűnik itt ott amerre járok /

A buda-cash kártalanításnál egy csomó egyéb probléma is felmerült, pl. hogy kvázi amolyan saxo-bank "viszonteladók" voltak / ha szabad végletekig leegyszerűsítve fogalmazni / bizonyos "termékek" esetében , és mikor a svájci frank árfolyamgátot elengedték, a magas tőkeáttétel miatt sokan beszopták.

Amennyire emlékszem mindkét irányban rövid idő alatt olyan mozgás volt, hogy mind az erősödésre, mind a gyengülésre játszókat gyakorlatilag stop-loss-al kiszórták / Mer' a forex stop-loss az nem egészen az mint a tőzsdei... :-D /, és a plusz fedezetet be kellett (volna) tenni a buda-cash számlákról, ahonnan eltüntették az ügyfélpénzeket.

Ezért a saxo zárolta a teljes ügyfélpénz-hozzáférést. Mivel a saxo viszont nem magyar hatáskör, ezért aztán a felszámolási eljárás is megrekedt. / én eddig követtem a témát nagyjából. /

----------

A quastornál a fiktív kötvénykibocsátás ( az a fölös mennyiség amire nem volt MNB engedély, csak senkinek nem akart feltűnni idejében, pl. mert a főnok még narancshaver volt ) az 'extra' .
Egy ilyen kis piacon mint a magyar egy még kisebb szelet mint a vállalati kötvények amelyeknek egyébként is viharos volt a közelmúltjuk (Btel, e-star), érdekes hogy senkinek nem tűnt fel egy ekkora eltérés kb. 60 milliárdra van engedély és 150-et adnak el (!).

Aztán ha jól tudom a kibocsátói kockázatokra vállalati kötvények esetén pl. nem terjed ki a BEVA biztosítása.

Ha jól tudom ezért van az, hogy akik valós qaestor kötvényeket vettek azokat nem kártalanítják, akik a fiktív részt vették meg azokat igen, hogy mi alapján döntötték el egy követelésből mennyi a valós, és mennyi a fiktív halmaz, azt mondjuk nem tudom...

--------
marcsika-nál az lesz a lényeg, hogy a tevékenységét a bíróság majd minek minősíti. Ha "jogosulatlan betétgyűjtés"-nek, akkor lehet hogy senki nem kap semmit, ha a marcsika cége nem volt az oba listáján, amin szerepel hogy kinek van úgymond csúnya szóval "betétgyűjtési engedélye".

Szóval azért a a qaestor/marcsika/buda-cash ügyben a beva/oba biztosítás messze nem terjed ki minden értékpapírra/értékpapírműveletre (!), pedig elvileg a magyar egy "szabályozott piac".

Ha rosszul tudom a fenti ügyeket, vagy "elavultam" :-D, javítsatok ki. kösz.

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

nem egészen.

A forex stop-lossnál nem az van, hogy az adott stop-loss értéken aktíválódik a "limitáras" megbízásod, hanem az van, hogy az adott stop-loss értéken aktíválódik egy ún. "piaci áras" megbízásod.

Viszont a svájci frank gát feloldásánál olyan elmozdulás volt, hogy jóval a stop-loss érték alá esett be a piaci ár, így nem az általad megadott stop-loss értéken, hanem az azt hirtelen bőven alulmúló piaci áron aktíválódott a megbízás az EUR/CHF devizapáron pl., erre jött a nemkevés tőkeáttétel és máris sikerült megdönteni az 1 msp alatt jelentős minuszba forduló ügyfélszámlák világrekordját.

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

A részvénytőzsdén mindennapos a gap-nek nevezett esemény, mikor az ár ugrik egyet. Tehát egyik pillanatban 9.00 egy papír értéke majd lesz 11.00
Ha te shortban voltál és 10-en volt a stopod, akkor két lehetőség van, a stop fajtájától függően:
- a megbízás 11-en teljesült, tehát 10 helyett 11-en zártál
- nem zárul le

És pontosan ugyanilyen gap volt a svájci franknál is. Tökéletesen ugyanaz a szituáció.

A forex ráadásul (normális esetben) sokkal likvidebb, mint egy részvénypiac. A limitáras megbízásod sokkal nagyobb valószínűséggel teljesül sokkal rövidebb idő alatt, mint a részvényeknél.
(Az, hogy egyes brókerek hogyan kezelik a stopokat már külön téma, de megérne egy mesét :)

Látom, hogy nem ismered az ügyet. A csődeljárás során elevele lefoglaltak százmilliárdos tételben bitcoint, és sok milliárdnyi egyéb vagyont. Ebből lesz a kártérités.

"Valamint bitcoinra semmilyen allami garancia nincs tudtommal."

Hát forintra is csak valami nevetséges 20 millió forintig van állami garancia, amilyen tételek a tőzsdéken forognak ahhoz képest ez semmi.
De kétség kivül megvan a bitcoinnak a maga kockázata, de azért nagyon távol van az igazság azoktól az állitásoktól amire válaszoltam eredetileg, azokat akartam cáfolni.
(mellette pedig igen komoly nyerési lehetőség van a bitcoin tőzsdén, mert nagy mozgások vannak rajta)

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Vicces hogy néhány száz bit egyedi permutációja mennyi galibát okozhat. Végülis csak annyi történt, hogy valaki azt mondta, hogy "Nincs kanál".

Ismét megy a váltó, bár a támadásról tul sokat tudni továbbra sem lehet. Az elveszett pénzt pótolni nem tudták, minden user elvesztette a váltón tárolt értékeinek 33%-át.

Update: 120 000 BTC = 188 milliárd forint (1BTC = 6000 USD)

Becslések szerint összesen ennek legalább tízszerese került ilyen vagy olyan módon hackerek kezébe.

Elég tanulságos előadás a MtGox hack (865 000 BTC hack) mögötti okokról és hogyan fogták el az egyik feltételezhető gyanúsítottat:
https://www.youtube.com/watch?v=l70iRcSxqzo

TLDR: MtGox sosem volt fizetőképes, mert rengeteg sikeres hack áldozata volt
- 2011 január 20: Kliens oldalon volt validálva a max kiutalható érték: -50 000 USD
- 2011 január 30: Ha negatív értéket utaltál ki, akkor megnőtt annyival az accountod értéke
- 2011 március 1: wallet.dat ellopva: -80 000 BTC
- 2011 május 22: véletlenül publikus samba megosztásra került a wallet.dat: -300 000 BTC (99%-át visszaadta a támadó)
- 2011 június 19: Admin account jelszó kikerült, piacmanipulációval: -2000 BTC
- 2011 augusztus 11: Véletlenül letöröltek egy VM-et ami a privát kulcsokat tartalmazott: -17 000 BTC
- 2011 szeptember 11: DB hack, accountokat átírva: -77 500 BTC
- 2011 október 1-: Fő wallet.dat ellopva: több éven keresztül -630 000 BTC
- 2011 október 1-: A hacker kiutalásait rosszul kezeli a rendszer, 48 MtGox random user összesen 44 300 BTC-t kap (a legtöbben nem jelentették a hibát): -30 000 BTC
- 2011 október 28: Új wallet software-t fejlesztettek, bugos volt: -2609 BTC
- 2013 augusztus: US hatóságok lefoglaltak 5 millió dollárt
- 2013 május: Fizetésfeldolgozó partnerük lenyúlt 5 millió dollárt

Ekkor már elég nagy bajban voltak, így kitalálták, hogy belsős kereskedéssel / market manipulációval vissza szerzik a pénzt. Valószínű ennek a kamu kereskedőbot (Willy bot) hatására ment fel 1200 USD-re a BTC ára (2013 tele) és rövid időn belül fizetésképtelenek lettek. (2014 tavasz)

Egy elég szofisztikált, de sikertelen támadás története:

- On Thursday, May 30, over a dozen Coinbase employees received an email purporting to be from Gregory Harris, a Research Grants Administrator at the University of Cambridge. This email came from the legitimate Cambridge domain, contained no malicious elements, passed spam detection, and referenced the backgrounds of the recipients. Over the next couple weeks, similar emails were received. Nothing seemed amiss.

- The attackers went through a qualification process and multiple rounds of emails with potential victims, making sure they were high-payoff targets before they directed victims to the page containing the exploit payload. This process commonly spanned weeks and only about 2.5% of the people who received the initial emails ended up receiving a link to the page hosting the 0-day.
The contents of the email referenced real academic events and were narrowly targeted at the backgrounds of the individuals being phished.

- On June 17 at 6:31am, Gregory Harris sent another email, but this one was different. It contained a URL that, when opened in Firefox, would install malware capable of taking over someone’s machine.
Once the attackers had qualified a target, they sent a separate link containing the exploit payload. Stage one of this attack first identified the operating system and browser, and displayed a convincing error to macOS users who were not currently using Firefox, instructing them to install the latest version from Mozilla.

- There were two separate 0-days chained together in this attack, one that allowed an attacker to escalate privileges from JavaScript on a page to the browser (CVE-2019–11707) and one that allowed the attacker to escape the browser sandbox and execute code on the host computer (CVE-2019–11708).

Forrás: Responding to Firefox 0-days in the wild

OFF fun-fact: A topic indító, ellopott bitcoin mai értéke: ~390 milliárd forint