Собственно сабж:
http://habrahabr.ru/post/212539/Плохие новости на этой неделе валятся на Биткойн просто одна за другой. Согласно появившейся сегодня ночью на сайте Reddit информации, нелегальный сайт Silk Road 2, который пришел на смену оригинальному детищу Ужасного Пирата Робертса, подвергся атаке двойного вывода, аналогичной той, которая ранее привела к прекращению вывода биткойнов с биржи Mt.Gox.
В сообщении на форумах SR2, подписанном аутентичной цифровой подписью Defconа, администратора сайта, говорится что хакерам удалось опустошить эскроу-кошелек сайта, который содержал средства клиентов за товары, находящиеся в процессе доставки. В сообщении говорится, что использовалась атака «пластичности транзакций», аналогичная той от которой ранее пострадал Mt.Gox. Defcon пишет:
«Я аж обливаюсь потом, когда это пишу… Но я должен произнести эти слова, слишком хорошо знакомые нашему многострадальному сообществу: Мы были взломаны. Наши первоначальные исследования показывают, что произошло применение недавно обнаруженной уязвимости в биткойн-протоколе, известной как „пластичность транзакций“. Используя ее, злоумышленник неоднократно выводил монеты из нашей системы, пока кошелек не был абсолютно опустошен.»
Не указывается прямо сумма украденного, пользователи Reddit приводят различные оценки, взятые явно с потолка — от 41 до 88 тысяч монет.
На основе данных администрации SR2, якобы были идентифицированы координаты трех возможных хакеров, два в Австралии и один во Франции. «Мы не остановимся ни перед чем, чтобы привести этих людей к нашему собственному пониманию правосудия», — пишет Defcon.
Не все поверили заявлению администрации нелегального сайта, что средства украдены хакерами. Известно, что последователи дела Silk Road не всегда отличаются честностью и принципиальностью самого Пирата Робертса. Так, в декабре произошла массированная кража монет пользователей администрацией нелегального сайта Sheep Marketplace — более 100 тысяч монет были украдены у клиентов этого иронично названного ресурса (действительно, «Рынок для баранов»? никого не насторожило?). Пользователи SR2, как и ожидалось, в штыки восприняли заявления по поводу «взлома», а вместо того обрушились на администрацию сайта с обвинениями в краже своих денег. По их мнению, персонал сайта просто использует «пластичность транзакций» как универсальную отмазку для того, чтобы отвести от себя гнев пользователей в сторону выдуманных «хакеров». «Пластичность транзакций», в конце концов, была хорошо известна в течение двух лет, и большинство экспертов по биткойн-безопасности сходятся на том, что это больше мелкая неприятность, чем реальная угроза, позволяющая украсть монеты. По крайней мере, до заявления Mt.Gox от нее вообще никто никогда не пострадал.
«Что-то тут не складывается: этот баг… никак не может быть ответствен за кражу монет, лежащих в эскроу», — пишет пользователь с ником Pathfinder.
«Изумительно. Сколько пользователей призвали к временному закрытию SR2, как это сделали биржи, до исправления проблемы? Они были проигнорированы, а теперь что?», пишет пользователь aqualung на форумах сайта. «Конечно, это сделали сами админы, никто другой, без вариантов».
Defcon отвергает эти обвинения, но взял на себя полную ответственность за то, что проворонил кражу:
«Я не сбежал с деньгами», — пишет он. «Да, я подвел всех вас, как лидер, и я полностью опустошен происшедшим… Это сокрушительный удар. Я не могу найти слов, чтобы выразить, как глубоко я хочу чтобы наше дело не пострадало как раз от этих самых угроз, которые сейчас материализовались. Конечно, это и моя вина.»
Красивые слова, но можно ли им верить? И насколько они утешат пользователей сайта, которые потеряли свои деньги?
Как вполне естественно было ожидать, курс биткойна в очередной раз упал из-за этих новостей. Mt.Gox сейчас тестирует минимум многих месяцев 460 долларов за монету, а курс на Битстампе и БТС-Е находится в районе 600.