20/3/2014
Kilka minut temu mocno podskoczyły ceny BTC na Bitmarket.pl. Czyżby sposób na Bitcureksa? :-)
Ciekawy watek dotyczący tej podatności znajduje się na Wykopie. A przyczyną błędu była — jak informuje nas jeden z czytelników — włączona opcja płatności testowej PayU do 999zł, przy pomocy której można było doładować konto kilkukrotnie a następnie zrobić wymianę na giełdzie.
Na chwilę obecną nie wiadomo, czy atakującemu udało się wyprowadzić BTC lub złotówki z giełdy i jakie straty ponieśli użytkownicy Bitmarketu.
Aktualizacja 12:30
Odezwał się do nas jeden z czytelników, który najprawdopodobniej ma coś wspólnego z atakującymi. Przesłał następujące informacje:
Ilość waluty jaka została wypłacona: 26.828BTC oraz 82 LTC
Wina którą próbują zwalać na platnosci.pl jest zupełnie nie słuszna.
Mimo zabezpieczenia poprzez wyłaczenia już platnosci testowej jest jeszcze jedna możliwość oszustwa wpłaty z platnosci.pl ale to sprawdzimy w innym czasie. Damy im szanse na audyt wewnętrzny czy tam zewnętrzny.
Aaaa i dziękujemy nieświadomemu użytkownikowi za “użyczenie” zombie jednostki do ataku.
Gdyby tak czytelnik ten podał prawdziwego e-maila, z chęcią byśmy z nim porozmawiali… :-)
https://forum.bitcoin.pl/post164822.html#p164822
Cytaty:
[quote=”thomas515″]
Na mikroblogu wykopu pojawiła się informacja, że jeden z użytkowników odnalazł bug który pozwala wpłacić dowolną ilość pieniędzy. Niestety nie może się z nikim skontaktować od rana i prawdopodobnie ktoś inny wykorzystał ten bug. Oczywiście informacja nie jest potwierdzona[/quote]
[quote=”Bit-els”]to by miało sens. Na Bitmarkecie kupiono około 100 btc, a teraz sprzedano też około setki na Bitcurexie[/quote]
[quote=”GetBitCoin_pl”]To samo na LTC – sprzedało mi się trochę, zobaczymy czy będzie rollback[/quote]
https://forum.bitcoin.pl/post164833.html#p164833 – wyjaśnienie sytuacji
BTC obecnie to jedna wielka ruletka, nikt za nic nie odpowiada, dzisiaj mozesz ulokowac w tym np. 1000 i tego samego dnia to stracic i to nie przez zmiane kursu ale dziury i samo zlodziejstwo serwisu
Jak jest się tak głupim, żeby trzymać środki na giełdzie to oczywiście, że jest to ruletka.
@tere – bzdura. Im dalej patrzę, tym większym przeciwnikiem BTC jestem. Zwykła giełda też jest podatna na krachy i awarie. Ale w przeciwieństwie do giełdy BTC tutaj mam załóżmy 100 akcji. Dziś są warte 100zł, jutro 105, a pojutrze 50 – taka gra. Ale nikt mi nie powie, że dziś mam 100 akcji a jutro tylko 15. Giełdy BTC to patrząc z boku to często-gęsto amatorszczyzna, totalny brak zaufania i złodziejstwo obsługi. Że o samym BTC nie wspomnę.
ale Tobie sie konkretnie coś pomyliło, winisz BTC za to, że giełdy są dziurawe?
To może przestańmy używać PLN, bo Ambergold kradł złotówki.
@wojtekm – nie, nie pomyliło się. Winię BTC za wysoką podatność na manipulacje a giełdy BTC za amatorszczyznę. A cały system BTC którego anonimowość i brak nadzoru – wielka zaleta – jest jedną wielką wadą. Stara śpiewka z Ambergold – tyle że w Ambergold zainwestowano ułamek ułamka finansów, śmierdziało to od dawna i nie zachwiało to obrotem PLN w żadnym stopniu. A w BTC co i rusz na jakąś giełdę się nie spojrzy to albo admin-złodziej albo haker dyma wszystkich bez mydła. A jak kasa zginie, to sobie można posta na forum co najwyżej napisać.
Tak w skrócie :-)
Polecam zapoznanie się z firmą “Nova KBM”, która z dnia na dzień znikła z GPW. Znikła firma a wraz z nią akcje z portfeli akcjonariuszy.
http://www.parkiet.com/artykul/1353834.html
@Les – tak, z pewnością mówimy o tej samej skali zjawiska…
Bardzo mądry atak. Ktoś, kto go wykonał, jest obeznany z działaniem systemów płatności.
To ile w końcu skubnęli?
26.828BTC to 28 tysięcy BTC według polskich norm. Naprawdę tyle poszło?
ponad 48, nie 28.
@eee, chodziło o nomenklaturę, nie o wartość tych BTC w złotówkach (szczególnie, że ejty nie podał nigdzie ‘zł’, tylko w obu przypadkach pisze o BTC). Do oddzielenia części dziesiętnych od całości używa się w Europie (chyba nie całej, ale w większości państw) przecinka, nie kropki.
@ejty, 28, nie 28k. Wartość zapewne skopiował lub wstukiwał z klawiatury numerycznej (na pewno na Windzie kropka/przecinek na numerycznej zależy od konfiguracji języka, ale domyślnie wszędzie jest po amerykańsku, czyli kropka). Giełda sama mówi o tym, że uciekło mniej niż 100BTC (niektórzy na bitcoin.pl szacowali, że tyle mogło zostać wyprowadzone z giełdy).
Cyrk dla frajerow.
Najczęstsza dziura w bramkach płatności polega na nieweryfikowaniu wysokości wpłaty i braku hashu transakcji. Wtedy użytkownik może zmienić kwotę przed przekierowaniem do portalu obsługującego płatności i merchant dostanie callback z info, że pełna kwota została wpłacona.
[…] a sprawa ma związek z wydarzeniami, które opisywaliśmy dokładnie rok temu — por. Bitmarket i wahnięcie kursu. Co ciekawe, po publikacji tego artykułu napisał do nas ktoś, kto miał dość dużą wiedzę na […]