[PLN] pln.bitcurex.com - Dyskusja Ogólna - ARCHIWUM

[domator]

To nie wygladalo na wlam klasyczny. Obserwowalem od pierwszej chwili bo mam alarmy na arbitraze pomiedzy gieldami.
To wygladalo jakby ktos magicznie zmienil sobie saldo we fiatach i rozpoczal mega skup. Pytanie czy zdarzyl wyplacic BTC.
Ci co pisza o recznej wyplacie BTC chyba nie wiedza co mowia. Przeciez nawet na takiej niewielkiej gieldzie jak curex to MUSI sie dobywac automatycznie.

[thomas515]

Jeśli ktoś wypłacił tylko te skupione BTC to nie będzie źle. Giełda o takim przemiale powinna sobie poradzić.

[mirekkk]

Ci co pisza o recznej wyplacie BTC chyba nie wiedza co mowia. Przeciez nawet na takiej niewielkiej gieldzie jak curex to MUSI sie dobywac automatycznie.

małe ilości owszem, ale zabezpieczenie powyżej np 10 BTC powinno być weryfikowane

[BitBull]

wolumen byl cos pod 2000btc z czego wiekszosc to skup btc. 2000 x 2000 = 4mln PLN wydaje Ci się, że Bitcurex to przełknie

[M4v3R]

Jeśli ktoś wypłacił tylko te skupione BTC to nie będzie źle. Giełda o takim przemiale powinna sobie poradzić.

Sądząc po wolumenie tych transakcji: http://bitcoincharts.com/charts/bitcure ... 10zm2g25zv

To około 1.5 - 1.8k BTC poszło. Ponad 3 mln PLN, jeśli faktycznie udało się je wyprowadzić (czego nadal nie wiemy, oby nie).

[emsi]

Przy tak duzej wyplacie mozna trafic na zly input - i wtedy wszyscy blogoslawia tx mall Ja tez jestem za conajmniej opoznianiem wszystkich transakcji. Niestety posiadanie takiej recznie obslugujacej wszystko kancelarii przy no nie wiem 20 transakcjach na minute staje sie problemem - a sa wieksze gieldy - choc w Chinach rzekomo sa tani pracownicy .

Mozna automatem opozniac transakcje np o 10 minut i stworzyc system zlozonych triggerow - niestety czasem oparty o przyczyny upadku innych. Kazdy taki przypadek niestety wzbogaca swiatowa baze wiedzy.

Ktos tu gdzies enigmatycznie pisal o wyplywie kodu tej gieldy ?

Hackerzy najprawdopodobniej nie mieli dostępu do kodu. To co udało im się zrobić udało się na innych giełdach. Jeśli w kodzie jest prosty race condition:

Kod: Zaznacz cały

if ($stanKonta>0) {
poróbCośtam();
$stanKonta-=$zmianaSalda
}

i udało im się spowodować wykonanie tego kodu równocześnie dwa razy, tak że sprawdzenie czy stan konta jest większy od 0 wykonało się raz, po czym drugi raz zanim doszło do zmiany salda to kolejne wykonanie spowoduje "przekręcenie" się stanu konta na liczbę ujemną. To mogli wygenerować gigantyczne saldo PLN. [Stan konta pewnie trzymany był dla wszystkich walut jako INT * SATOSHI, bo prościej i szybciej tak niż na rzeczywistych zmiennoprzecinkowych]. Jeśli liczba ujemna jest traktowana jako liczba całkowita bez znaku to jest to bardzo duża liczba (w zależności od ilości bitów mogą to być miliardy albo kwadryliony).

Mając wielkie saldo w PLN nie byli jeszcze w stanie ukraść cudzych BTC ani PLN ale mogli wykupić wszystko co jest na giełdzie i wysłać do siebie. Tak też się pewnie stało. Maile o zmiane salda dotały te osoby, które miały wystawione oferty sprzedaży powyżej aktualnego kursu (po prostu zostały zrealizowane). Jeśli udało im się to wysłać, a pewnie się udało bo mój automat transakcyjny obserwował giełdę co 5 minut i pierwszy dziwny kurs mam o 9:23 (15% wyżej niż inne rynki), potem o 9:28 (159%) i 9:33 (158%). Kurs 5000 był więc co najmniej przez 10 minut a sama akcja zaczęła się minimum 5-7 minut wcześniej (między 9:18 a 9:23). Jeśli mieli kupione BTC i giełda działała przez 10 minut to bardzo możliwe, że mogli je wysłać dalej. Nie wysyłałem nigdy więcej niż równowartość kilkunasty tyś PLN ale przelewy raczej szły z automatu, nie musiałem czekać na ręczne popchnięcie.

[djwally]

Jak im zgłaszałem 2 tygodnie temu, że ktoś mi się włamał na konto i pozmieniał zlecenia to mi kazali antywirusa sobie zainstalować. Jaki support taka giełda.

ja miałem dokładnie to samo, ciągle ich z tym mecze ale nadal każą mi instalować antywirusy. Jak teraz znów coś stracę to też im napiszę żeby sobie zainstalowali

[buckar2o]

Nie chcę snuć złych scenariszy, ale trzeba przygotować się, że jak ruszą, to ludziska zaczną masowo wycofywać środki i wiadomo jak się może to skończyć. Bez względ na to, czy to tylko mały problem, czy duży włam, to reputacja nadszarpnięta. Co do alternatywy Bitmarketu, to zaważcie, że u nich też były dziwne ruchy między 9h i 10h, co prawda do poziom "tylko" ok. 2.300, ale też to daje coś do myślenia. Jednak stwierdzam, że btc to ciężki kawałek chleba i nerwy trzeba mieć...

[osom]

MarcusDe co ty tu dales za adres? ten na ktory wplaciles btc?

Jeśli atak, to atak na chciwość.
1. Sprzedam BTC po 5k!
2. Jakieś duże ruchy - warto mieć BTC na giełdzie - wpłacę sobie.

Sprzedający po cenie BID okazali się idiotami, bo nikt normalny by nie dokonywał żadnych ruchów przy takim oderwaniu cen od rzeczywistości.
Najbardziej poszkodowani są wpłacający BTC, bo po prostu wysłali je komuś i teraz to nawet jak giełda cofnie transakcje, to oni i tak będą mieli problem z odzyskaniem ich :/

Jeśli po sprzedaży, atakującemu nie udało się zrobić wypłaty (coś około 1700 BTC wg wolumenu), to ilość utraconych BTC poprzez atak na konta wpłat może być kluczowa dla całej afery. Jeśli mu się udało i bitki wyszły z curexa, to to jest strata na poziomie 3,3 mln zł. Nie wiem, czy BitCurex jest w stanie ponieść taką stratę i nadal funkcjonować.

eur.bitcurex.com wyłączyli.

[big_digger]

Ci co pisza o recznej wyplacie BTC chyba nie wiedza co mowia. Przeciez nawet na takiej niewielkiej gieldzie jak curex to MUSI sie dobywac automatycznie.

Dlaczego ? Przeciez moga imortowac sobie liste pfzelewow i tak wypuszaczac co pozwala jeszcze okiem sprawdzic czy nie ma czegos podejzanego.

Pomocy! Jestem lamerem i nie wiem jak wyłączyc podpis w Tapatalku. Proszę o instrukcję na PW. GT-I9195 przy użyciu Tapatalka

[virus]

Ja z tego co przebadalem blockchain-a adresow moich powiazanych z bitcurexem i change-addressy bitcurexa to na czesci dalej sa jakies BTC.
Wgladu we wszystkie adresy curexa nie mam, ale na tyle co udalo mi sie zobaczyc to na wielu jest sporo BTC wiec albo to nie hack, albo reakcja byla na tyle szybka ze tylko czesc srodkow zniknela.

[Sopel3pl]

Mało prawdopodobne jest by te BTC wyszły z giełdy.
Sytuacja miała miejsce przez 20 minut. Mało prawdopodobne jest by giełda nie opóźniała wypłat lub chociaż nie ograniczała ich strumienia.
Chociaż czas wyłączenia po bardzo dziwnym zachowaniu jest jednak długi.
Bardziej to wygląda na błąd lub działanie wewnętrznego personelu niż zewnętrzne włamanie.
Niema co panikować.

[thomas515]

Nie chcę snuć złych scenariszy, ale trzeba przygotować się, że jak ruszą, to ludziska zaczną masowo wycofywać środki i wiadomo jak się może to skończyć. Bez względ na to, czy to tylko mały problem, czy duży włam, to reputacja nadszarpnięta. Co do alternatywy Bitmarketu, to zaważcie, że u nich też były dziwne ruchy między 9h i 10h, co prawda do poziom "tylko" ok. 2.300, ale też to daje coś do myślenia. Jednak stwierdzam, że btc to ciężki kawałek chleba i nerwy trzeba mieć...

Ruchy na bitmarkecie były takie bo pewnie część widząc co się dzieje na curexie zaczęła skupować tanio na bitmarkecie

[MarcusDe]

MarcusDe co ty tu dales za adres? ten na ktory wplaciles btc?

Tak.

Umkneło gdzieś moje pytanie więc jeszcze raz:

Kiedy giełda zmieniała ostatni raz adresy wpłat BTC??

[emsi]

\
Jeśli po sprzedaży, atakującemu nie udało się zrobić wypłaty (coś około 1700 BTC wg wolumenu), to ilość utraconych BTC poprzez atak na konta wpłat może być kluczowa dla całej afery. Jeśli mu się udało i bitki wyszły z curexa, to to jest strata na poziomie 3,3 mln zł. Nie wiem, czy BitCurex jest w stanie ponieść taką stratę i nadal funkcjonować.

Mogą cofnąć te transakcje. Wtedy strata bitcurexa jest po normalnym kursie BTC a nie po 5K, więc pewnie od 0.5 do 1 mln mniej. Po prosu jak ktoś "sprzedał" swoje BTC po 5K to będzie miał je z powrotem (bitcurex będzie musiał je odkupić po 2K a nie po 5).

[rizar]

to z tego adresu juz pewnie nie zniknie

[gerardo]

na razie spokojnie panowie czekamy,
wygląda na to że bitcurex szybko zareagowało na problem
więc może się okazac , że wiele hałasu o nic

[aaaxn]

Mało prawdopodobne jest by te BTC wyszły z giełdy.
Sytuacja miała miejsce przez 20 minut. Mało prawdopodobne jest by giełda nie opóźniała wypłat lub chociaż nie ograniczała ich strumienia.
Chociaż czas wyłączenia po bardzo dziwnym zachowaniu jest jednak długi.
Bardziej to wygląda na błąd lub działanie wewnętrznego personelu niż zewnętrzne włamanie.
Niema co panikować.

Mało prawdopodobne? Mowa tu o giełdzie, która od początku swojego istnienia miała podatność na atak xss, w formularzach. Wystarczyło wysłać kogoś na swoją stronę i jeśli był zalogowany na curex to mogłes wystawiac w jego imieniu zlecenia kupna i sprzedaży. Zgłąszałem ten błąd i reakcją było wyłączenie czatu a sam błąd jest tam do dziś.

[emsi]

Nie chcę snuć złych scenariszy, ale trzeba przygotować się, że jak ruszą, to ludziska zaczną masowo wycofywać środki i wiadomo jak się może to skończyć. Bez względ na to, czy to tylko mały problem, czy duży włam, to reputacja nadszarpnięta. Co do alternatywy Bitmarketu, to zaważcie, że u nich też były dziwne ruchy między 9h i 10h, co prawda do poziom "tylko" ok. 2.300, ale też to daje coś do myślenia. Jednak stwierdzam, że btc to ciężki kawałek chleba i nerwy trzeba mieć...

Ruchy na bitmarkecie były takie bo pewnie część widząc co się dzieje na curexie zaczęła skupować tanio na bitmarkecie

Automaty arbitrażowe same mogły kupować na innych giełdach i sprzedawać na bitcurexie, przez co windowały kursy także na zewnątrz. Za to bitcurex na pewno nie zwróci nawet jak weźmie na klatę to co przepadło bezpośrednio u nich

[slepy]

Przy tak duzej wyplacie mozna trafic na zly input - i wtedy wszyscy blogoslawia tx mall Ja tez jestem za conajmniej opoznianiem wszystkich transakcji. Niestety posiadanie takiej recznie obslugujacej wszystko kancelarii przy no nie wiem 20 transakcjach na minute staje sie problemem - a sa wieksze gieldy - choc w Chinach rzekomo sa tani pracownicy .

Mozna automatem opozniac transakcje np o 10 minut i stworzyc system zlozonych triggerow - niestety czasem oparty o przyczyny upadku innych. Kazdy taki przypadek niestety wzbogaca swiatowa baze wiedzy.

Ktos tu gdzies enigmatycznie pisal o wyplywie kodu tej gieldy ?

Hackerzy najprawdopodobniej nie mieli dostępu do kodu. To co udało im się zrobić udało się na innych giełdach. Jeśli w kodzie jest prosty race condition:

Kod: Zaznacz cały

if ($stanKonta>0) {
poróbCośtam();
$stanKonta-=$zmianaSalda
}

i udało im się spowodować wykonanie tego kodu równocześnie dwa razy, tak że sprawdzenie czy stan konta jest większy od 0 wykonało się raz, po czym drugi raz zanim doszło do zmiany salda to kolejne wykonanie spowoduje "przekręcenie" się stanu konta na liczbę ujemną. To mogli wygenerować gigantyczne saldo PLN. [Stan konta pewnie trzymany był dla wszystkich walut jako INT * SATOSHI, bo prościej i szybciej tak niż na rzeczywistych zmiennoprzecinkowych]. Jeśli liczba ujemna jest traktowana jako liczba całkowita bez znaku to jest to bardzo duża liczba (w zależności od ilości bitów mogą to być miliardy albo kwadryliony).

Mając wielkie saldo w PLN nie byli jeszcze w stanie ukraść cudzych BTC ani PLN ale mogli wykupić wszystko co jest na giełdzie i wysłać do siebie. Tak też się pewnie stało. Maile o zmiane salda dotały te osoby, które miały wystawione oferty sprzedaży powyżej aktualnego kursu (po prostu zostały zrealizowane). Jeśli udało im się to wysłać, a pewnie się udało bo mój automat transakcyjny obserwował giełdę co 5 minut i pierwszy dziwny kurs mam o 9:23 (15% wyżej niż inne rynki), potem o 9:28 (159%) i 9:33 (158%). Kurs 5000 był więc co najmniej przez 10 minut a sama akcja zaczęła się minimum 5-7 minut wcześniej (między 9:18 a 9:23). Jeśli mieli kupione BTC i giełda działała przez 10 minut to bardzo możliwe, że mogli je wysłać dalej. Nie wysyłałem nigdy więcej niż równowartość kilkunasty tyś PLN ale przelewy raczej szły z automatu, nie musiałem czekać na ręczne popchnięcie.

Jeżeli to co piszą tu użytkownicy jest prawdą że adresy BTC wpłat zostały im podmienione, to bardziej prawdopodobny jest dostęp bezpośrednio do bazy danych, ustawienie sobie salda PLN bardzo wysoko i podmiana adresów wpłat BTC.

Kilka dni temu na forum była informacja o sprzedaży kodu na którym opiera się bitcurex. Być może ma to związaek z całą sprawą.

Pozdrawiam.