11:38
20/3/2014

Kilka minut temu mocno podskoczyły ceny BTC na Bitmarket.pl. Czyżby sposób na Bitcureksa? :-)

Bitmonitor_-_sprawdź_wartość_waluty_Bitcoin_

Ciekawy watek dotyczący tej podatności znajduje się na Wykopie. A przyczyną błędu była — jak informuje nas jeden z czytelników — włączona opcja płatności testowej PayU do 999zł, przy pomocy której można było doładować konto kilkukrotnie a następnie zrobić wymianę na giełdzie.

Warto przejrzeć swoje integracje z API dostawców płatności — nie tylko PayU oferuje tzw. “testowe” płatności.

Na chwilę obecną nie wiadomo, czy atakującemu udało się wyprowadzić BTC lub złotówki z giełdy i jakie straty ponieśli użytkownicy Bitmarketu.

Aktualizacja 12:30
Odezwał się do nas jeden z czytelników, który najprawdopodobniej ma coś wspólnego z atakującymi. Przesłał następujące informacje:

Ilość waluty jaka została wypłacona: 26.828BTC oraz 82 LTC
Wina którą próbują zwalać na platnosci.pl jest zupełnie nie słuszna.
Mimo zabezpieczenia poprzez wyłaczenia już platnosci testowej jest jeszcze jedna możliwość oszustwa wpłaty z platnosci.pl ale to sprawdzimy w innym czasie. Damy im szanse na audyt wewnętrzny czy tam zewnętrzny.
Aaaa i dziękujemy nieświadomemu użytkownikowi za “użyczenie” zombie jednostki do ataku.

Gdyby tak czytelnik ten podał prawdziwego e-maila, z chęcią byśmy z nim porozmawiali… :-)

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. https://forum.bitcoin.pl/post164822.html#p164822

    Cytaty:

    [quote=”thomas515″]
    Na mikroblogu wykopu pojawiła się informacja, że jeden z użytkowników odnalazł bug który pozwala wpłacić dowolną ilość pieniędzy. Niestety nie może się z nikim skontaktować od rana i prawdopodobnie ktoś inny wykorzystał ten bug. Oczywiście informacja nie jest potwierdzona[/quote]

    [quote=”Bit-els”]to by miało sens. Na Bitmarkecie kupiono około 100 btc, a teraz sprzedano też około setki na Bitcurexie[/quote]

    [quote=”GetBitCoin_pl”]To samo na LTC – sprzedało mi się trochę, zobaczymy czy będzie rollback[/quote]

  2. https://forum.bitcoin.pl/post164833.html#p164833 – wyjaśnienie sytuacji

  3. BTC obecnie to jedna wielka ruletka, nikt za nic nie odpowiada, dzisiaj mozesz ulokowac w tym np. 1000 i tego samego dnia to stracic i to nie przez zmiane kursu ale dziury i samo zlodziejstwo serwisu

    • Jak jest się tak głupim, żeby trzymać środki na giełdzie to oczywiście, że jest to ruletka.

    • @tere – bzdura. Im dalej patrzę, tym większym przeciwnikiem BTC jestem. Zwykła giełda też jest podatna na krachy i awarie. Ale w przeciwieństwie do giełdy BTC tutaj mam załóżmy 100 akcji. Dziś są warte 100zł, jutro 105, a pojutrze 50 – taka gra. Ale nikt mi nie powie, że dziś mam 100 akcji a jutro tylko 15. Giełdy BTC to patrząc z boku to często-gęsto amatorszczyzna, totalny brak zaufania i złodziejstwo obsługi. Że o samym BTC nie wspomnę.

    • ale Tobie sie konkretnie coś pomyliło, winisz BTC za to, że giełdy są dziurawe?
      To może przestańmy używać PLN, bo Ambergold kradł złotówki.

    • @wojtekm – nie, nie pomyliło się. Winię BTC za wysoką podatność na manipulacje a giełdy BTC za amatorszczyznę. A cały system BTC którego anonimowość i brak nadzoru – wielka zaleta – jest jedną wielką wadą. Stara śpiewka z Ambergold – tyle że w Ambergold zainwestowano ułamek ułamka finansów, śmierdziało to od dawna i nie zachwiało to obrotem PLN w żadnym stopniu. A w BTC co i rusz na jakąś giełdę się nie spojrzy to albo admin-złodziej albo haker dyma wszystkich bez mydła. A jak kasa zginie, to sobie można posta na forum co najwyżej napisać.
      Tak w skrócie :-)

    • Polecam zapoznanie się z firmą “Nova KBM”, która z dnia na dzień znikła z GPW. Znikła firma a wraz z nią akcje z portfeli akcjonariuszy.

      http://www.parkiet.com/artykul/1353834.html

    • @Les – tak, z pewnością mówimy o tej samej skali zjawiska…

  4. Bardzo mądry atak. Ktoś, kto go wykonał, jest obeznany z działaniem systemów płatności.

  5. To ile w końcu skubnęli?
    26.828BTC to 28 tysięcy BTC według polskich norm. Naprawdę tyle poszło?

    • ponad 48, nie 28.

    • @eee, chodziło o nomenklaturę, nie o wartość tych BTC w złotówkach (szczególnie, że ejty nie podał nigdzie ‘zł’, tylko w obu przypadkach pisze o BTC). Do oddzielenia części dziesiętnych od całości używa się w Europie (chyba nie całej, ale w większości państw) przecinka, nie kropki.

      @ejty, 28, nie 28k. Wartość zapewne skopiował lub wstukiwał z klawiatury numerycznej (na pewno na Windzie kropka/przecinek na numerycznej zależy od konfiguracji języka, ale domyślnie wszędzie jest po amerykańsku, czyli kropka). Giełda sama mówi o tym, że uciekło mniej niż 100BTC (niektórzy na bitcoin.pl szacowali, że tyle mogło zostać wyprowadzone z giełdy).

  6. Cyrk dla frajerow.

  7. Najczęstsza dziura w bramkach płatności polega na nieweryfikowaniu wysokości wpłaty i braku hashu transakcji. Wtedy użytkownik może zmienić kwotę przed przekierowaniem do portalu obsługującego płatności i merchant dostanie callback z info, że pełna kwota została wpłacona.

  8. […] a sprawa ma związek z wydarzeniami, które opisywaliśmy dokładnie rok temu — por. Bitmarket i wahnięcie kursu. Co ciekawe, po publikacji tego artykułu napisał do nas ktoś, kto miał dość dużą wiedzę na […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.