13:27
5/2/2019

Termin “zimny portfel” nabiera całkiem innego znaczenia w kontekście tej historii. CEO giełdy QuadrigaCX zmarł, zabierając ze sobą hasła do portfela ze znaczną częścią zasobów firmy. Przynajmniej tak sprawę przedstawia wdowa.

Kanadyjska giełda kryptowalut QuadrigaCX ma poważny problem. Na jej stronie znajdziemy obecnie oświadczenie, że do sądu Nova Scotia Supreme Court wpłynął wniosek o zabezpieczenie majątku dla wierzycieli. W oświadczeniu wspominano, że podejmowane są działania w celu “zabezpieczenia znacznych rezerw kryptowalut przechowywanych w zimnych portfelach”. Te działania jak dotąd nie przyniosły sukcesów…

Zimny portfel zabrany do grobu?

Kryjąca się za tym historia jest ciekawsza niż oświadczenie. Założyciel giełdy Gerry Cotten zmarł w grudniu 2018 r. w Indiach z powodu powikłań po chorobie Crohna. Giełda podała informację o śmierci do publicznej wiadomości, ale dopiero w styczniu. Przy okazji ogłoszono wprowadzenie dziennych limitów wypłat. Wiele osób doświadczyło opóźnień w wypłatach, a w social mediach ostrzegano przed przekrętem. Zwracano uwagę na duże opóźnienie w ogłoszeniu śmierci założyciela i wskazywano na brak dowodów śmierci.

Z początkiem lutego okazało się, że giełda straciła kontrolę nad 137 milionami dolarów. O szczegółach sprawy można się dowiedzieć z zeznania Jennifer Robertson, czyli wdowy po zmarłym. Do dokumentu dotarł serwis CoinDesk.

Z zeznania wynika, że QuadrigaCX trzymała znaczną część swoich zasobów w tzw. “zimnym portfelu”, czyli na portfelu sprzętowym niepodłączonym do internetu. Pomysł był o tyle dobry, że środki nie były podatne na atak zdalny. Niestety zimny portfel Robertsona był trzymany na szyfrowanym laptopie i była na nim właśnie równowartość 137 mln dolarów amerykańskich. Wdowa twierdzi, że nie znała hasła do tego laptopa i nie znalazła nigdzie zapisków na ten temat (pomimo wielu uważnych przeszukań).

Z zeznań wynika, że Gerry Robertson był czuły na punkcie bezpieczeństwa. Wdowa zatrudniła ekspertów, którzy podjęli próby odszyfrowania laptopa i jednego zaszyfrowanego dysku USB. Udało się odczytać część wiadomości e-mail z konta osobistego i służbowego, ale Robertson prawdopodobnie używał jeszcze jednego “szyfrowanego konta” oraz “szyfrowanego komunikatora”. Wiadomości z komunikatora prawdopodobnie były po pewnym czasie usuwane, więc znaczna część wskazówek do poszukiwań może być już unicestwiona.

Współpracownicy rzekomo nie dostawali dostępu do “zimnego portfela”, a była w nim zdecydowana większość zasobów. Z zeznania Robertson wynika, że całość obejmowała 26,5 tys. BTC (czyli ok. 92 mln dolarów), 11 tys. bitcoin cash (ok, 1,3 mln dol.), 11 tys. bitcoin cash SV (ponad 700 tys. dol.), 200 tys. LTC (ok 6,5 mln), 430 tys. ether (ok, 46 mln).W sumie wszystkie zasoby giełdy mogły być warte 147 mln dolarów. Możliwe, że reszta lub jakaś jej część jest przechowywana na innych giełdach.

Co ciekawe, nie pierwszy raz Quadriga straciła kryptowalutę. W roku 2017 giełda straciła ok. 14 mln dolarów z powodu błędu w Smart Contract.

To jednak problem bezpieczeństwa

Ciekawie będzie obserwować jak ta sprawa się rozwinie. Możliwe są trzy scenariusze: duży przekręt z upozorowaną śmiercią (dobry materiał na film), przekręt w tle prawdziwej śmierć albo… prawdziwa śmierć i prawdziwy problem z hasł. Jeśli to prawda to znaczy, że Gerry Robertson popełnił ogromny błąd z punktu widzenia bezpieczeństwa. Dobre zabezpieczenia muszą uwzględniać zarówno utrudnienie dostępu do danych, jak i umożliwienie dostępu do nich w razie śmierci, choroby lub innego nieprzewidzianego zdarzenia.

Wielu z naszych Czytelników zapewne pamięta sprawę 2be.pl. Nagłe i bolesne wyłączenie usług hostingowych zaczęło się rzekomo od odejścia jednego administratora. Jeśli biznes przechowujący środki lub dane wiele ludzi może być położony przez jedną osobę, nie można tego nazwać bezpiecznym podejściem do sprawy.

Temat haseł po śmierci był wielokrotnie podejmowany w prasie i nawet powstawały e-usługi, które miały ten problem rozwiązywać. Niektóre menedżery haseł (np. LastPass) przewidują opcję awaryjnego dostępu, przy czym użytkownik uprawniony najpierw prosi o ten dostęp, a później musi odczekać przez okres wskazany przez użytkownika. Generalnie zarządzanie osobistymi hasłami na wypadek śmierci to ciekawy problem, choć większość z nas nie chce o tym myśleć już dziś.

Aktualizacja 6.02.2019 7:21

Poświęcony kryptowalutom Zerononcense Blog opublikował wyniki interesującej analizy portfeli bitcoin i ethereum należących do QuadrigaCX (tzn. niekoniecznie były to wszystkie portfele giełdy, ale te wzięte pod uwagę z pewnością do niej należały). Badacze podkreślają, że nie mają pewności, czy ich analiza w pełni oddaje prawdę, niemniej raport opiera się na twardych danych z blockchaina i przez to trudno go całkowicie ignorować.

Zdaniem autorów badania nic nie wskazuje na to, aby QuadrigaCX miała jakikolwiek zimny portfel. Po prostu nie zauważono takich znaczących wypłat, które nie miałyby związku z innymi giełdami albo takich, które byłyby mocnym dowodem stworzenia zimnego portfela. Co więcej, można wątpić czy QuadrigaCX posiadała ponad 26 tys. BTC jak twierdziła Jennifer Robertson. Analiza transakcji wskazuje raczej, że QuadrigaCX używała depozytów jednych klientów do spłacania zobowiązań wobec drugich. Mogła być po prostu piramidą finansową. Zdają się to potwierdzać skargi na opóźnienia w wypłatach, które pojawiały się już wiele miesięcy temu.

QuadrigaCX wydłużyła oświadczenie publikowane na swojej stronie, ale jak dotąd nie odniosła się do ustaleń publikowanych na Zerononcense Blog.

W nowym oświadczeniu napisano już o wielu zimnych portfelach, do których nie ma dostępu. Napisano też: To date, we have accessed a few coins, but not many. Sugeruje to, że prace zatrudnionych konsultantów nie koncentrują się tylko na jednym laptopie i jednym dysku USB jak sugerowało zeznanie Jennifer Robertson.

Bardzo niepokojąca jest opieszałość giełdy w informowaniu o sytuacji. Cotten zmarł 9 grudnia, a o problemach z dostępem do zimnych portfeli klienci dowiedzieli się na koniec stycznia. Co więcej, w pierwszych oświadczeniach nie było mowy o utracie dostępu do zimnych portfeli, a jedynie o zabezpieczaniu środków z nich. Następnie prasa przedstawiła oświadczenie wdowy i dopiero wówczas giełda przyznała, że ma problem z dostępem do środków. Nie wygląda to dobrze.

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. Wow

    • FUNDOS ARE SAFU

  2. Aż się prosi o mema “Aaaaaand it’s gone” :-)

  3. Jakby codziennie zmieniał hasło na aktualną datę, to hasłem byłaby data śmierci.

    • Hasło = data dzienna??? Co to za hasło..?

    • A jakby codziennie do hasła dodawał jedną literkę, to byłoby ono takie długie, że ja pi.rdolę

  4. Cześć, sporo literówek Marcinie w tekście , po za tym treść całkiem ciekawa :)

    Pozdrawiam!

    • *poza tym

    • Owszem, mimo literówek życzę sobie i innym czytelnikom więcej takich newsów :-).

    • Na moje oko zabrakło drugiego czytania … Przydałby się redaktor (-ka) do korekty przy dłuższych tekstach

  5. “Dobre zabezpieczenia muszą uwzględniać zarówno utrudnienie dostępu do danych, jak i umożliwienie dostępu do nich w razie śmierci, choroby lub innego nieprzewidzianego zdarzenia.”

    Moim zdaniem jest to twierdzenie bardzo na wyrost. Zaklada ze osoba chce sie po smierci podzielic danymi ktor chronila. Moim zdaniem nie kazdy chce to zrobic.

    Ponadto istnieje prawdopodobienstwo ze jest mechanizm ktory po pewnym czasie wykona pewne operacje na tym zimnym portfelu (jesli zostala wykonana kopia bezpieczenstwa) wiec nie ma nawet dowodow na to zeby takie twierdzenie wystosowac (ze wlasciciel zle zabezpieczyl dane).

  6. Problem znany od lat. Tylko że kiedyś ludzie zakopywali w ziemi i umierali. Byli tacy co wykupywali potajemnie skrytki w banku na 100 lat do przodu i umierali.
    A tu przynajmniej wiadomo gdzie kasa jest. Teraz wystarczy poczekać na wzrost mocy obliczeniowej komputerów i liczyć, że wirtualne waluty uwięzione w portfelu nie stracą n wartości :D

  7. W Polsce na chorobę Crohna mówimy że, jest Leśniewskiego ;)

    • LeśniOwskiego!

  8. Plot twist: https://twitter.com/tayvano_/status/1092439754849759233 “I’m seeing NO indication of Quadriga ever having cold / reserve wallets for ETH.”

  9. A czy twoje Konto Google jest gotowe na twoją śmierć? Dyspozycję możesz złożyć już dziś…

  10. Cory Doctorow kiedyś opisał swoją metodę. Po iluś eksperymentach ostatecznie doszedł do następującego systemu – połowę hasła ma zaufany prawnik (inna jurysdykcja niż kraj w którym Doctorow mieszka), drugą połowę ma żona.
    Ci, którzy zapisują hasła na żółtych karteczkach przyklejonych do monitora mają ten problem z głowy :D

    • A co jeśli żona ucieknie z „zaufanym” prawnikiem?

    • Aż tu nagle dowiadujesz się, że żona uciekła z prawnikiem :D

  11. Wydaje mi się, że chodzi tu bardziej o problem prawny niż problem z zakresu bezpieczeństwa. Z punktu widzenia bezpieczeństwa sprawa jest jasna i prosta.
    Jeżeli ktoś posiada całkowicie prywatny i własny zasób jak np. szczoteczka do zębów, to nie musi nikomu udostępniać możliwości odszyfrowania. Jeżeli zasób jest, lub w jakimkolwiek przypadku ma być współdzielony np. czajnik, to nikt nie ma prawa go zaszyfrować bez odpowiednich procedur odzyskiwania.
    Inaczej sprawa wygląda dla prawników. Szczoteczkę do zębów mogą chcieć spadkobiercy i powstaje problem. I niestety takie uzasadnienie może się pojawić przy zapisie, że każdy obywatel, który chce używać programów szyfrujących musi złożyć hasło/klucz prywatny u notariusza lub w jakimś innym urzędzie.
    Czyli problem jest ale chyba nie dotyczy prawidłowo realizowanego BI.

    • Dlatego przy tych kluczach należy stosować 4S. Nie.Nie chodzi mi o Apple czy o jakiś przerobiony Lean Management. Shamir Secret Sharing Scheme…

  12. Trzymam kciuki za to, by nie udało się złamać zabezpieczeń, bo to by oznaczało, że w cyfrowych czasach nadal istnieją skuteczne zabezpieczenia.

    “Łańcuch jest tak mocny jak jego najsłabsze ogniwo”

  13. Jeżeli to by była śmierć przez potrącenie przez autobus, to byłbym skłonny uwierzyć, ale przy tej chorobie powinien mieć minutę czy dwie na zapisanie wiadomości dla żony. A fakt, że wydarzyło się to w Indiach powoduje, że się nie zdziwię jak się okaże, że jego marzeniem była kremacja po śmierci i rozsypanie prochów w morzu.

    • Pytanie, czy umierając myślał o tak przyziemnej rzeczy jak wirtualne miliony. To jest ten drobny aspekt, o którym mało się myśli. Wszyscy sobie mówią, że mają czas. Ale jak przychodzi czas umierania to nagle wszystkie “drobiazgi” schodzą na dalszy plan.
      Dla nas żyjących to może być absurdalne, ale umierający zupełnie przestają być przywiązani do drobiazgów jak dobra doczesne. Czasem po uregulowaniu spraw doczesnych przychodzi gwałtowne załamanie i śmierć…. Ale dla nieprzygotowanych moment, kiedy zaczynają umierać powoduje że przestają myśleć o pierdułkach. Widziałem to wielokrotnie. Ludzie poukładani i myślący w tych kategoriach nagle przestają…. Niebawem umierają. Dlatego jak macie coś załatwić zróbcie to teraz.

    • Jestem skłonny się zgodzić ogólnie, ale w tym szczególnym przypadku ten człowiek podobno pomyślał jednak o spadku dla swoich psów. Trochę podejrzane, że zapomniał o milionach.

  14. Skoro zabieranie haseł do grobu jest, jak piszesz, ogromnym błędem, to jak się przed nim ustrzec? Nie umierać? Jaką politykę przyjąć w przypadku krypto? Ja nie widzę dobrych i bezpiecznych rozwiązań.

    • Do oferty niebezpiecznika trafi za kilka dni opaska z wykrywaniem pulsu danej osoby, okresowo pobierająca DNA do potwierdzenia, że żyjesz.
      Jeżeli stwierdzi że umierasz to wyśle hasła do podanej przez Ciebie osoby.
      Taki dodatek do zabawek które sprzedają.

    • Polityka 4S.Nie apple,nie lean management tylko Shamir Secret Sharing Scheme.

  15. Wyjdzie na jaw, jeśli okaże się że środki z “zimnych portfeli” jednak wypływają.

  16. Cześć,
    Podrzucam linka do youtube gdzie jest ciekawy materiał na ten temat:
    https://www.youtube.com/watch?v=tiy1K6-mf4s&feature=youtu.be

  17. Wydaje mi się to dość podejrzane…
    Gość rzekomo zmarł z “powodu powikłań po chorobie Crohna” – zacznijmy od tego że jest to choroba przewlekła i obecnie nie do wyleczenia a do zaleczenia. Gość musiał być świadomy dolegliwości. W jej przypadku przyjmuje się na stałe leki, i w zależności od przebiegu żyje się lepiej lub gorzej. Ale przyznam że wydaje mi się to co najmniej dziwne żeby z taką chorobą (przy której ponieważ jest to choroba zaliczana do auto-immunologicznych dostaje się między innymi leki immunosupresyjne obniżające odporność) telepać się po sierocińcach w Indiach. Do tego większość leków wymaga przechowywania w warunkach do 25*C więc w upały pozostaje lodówka.
    A jeśli miał jakiś poważniejszy przebieg to tym bardziej takie zabawy wydają się co najmniej podejrzane.
    A raczej ktoś kto zakłada giełdę krypto nie jest skończonym głupkiem żeby bezmyślnie narażać życie.

    • Może to była jedyna opcja na dobre świadczenie dla żony po śmierci.. a Tajlandia nie tak daleko

  18. Indie ? Był taki program o wystawianiu tam dokumentów za łapówki i finałowym przekrętem był akt zgonu na prowadzącego program (oczywiście na ŻYJĄCEGO prowadzącego). A skoro wystawienie aktu zgonu na Europejczyka jest tam możliwe za niezbyt wygórowaną sumę,to co powiedzieć o akcie zgonu na Hindusa ? Ich tam żyje ponad miliard, nawet jakby mieć fotkę gościa to szukaj tej igły w przyczepie (bo stóg to by było za dobrze) siana. Nie wspominam o fakcie,że ciężko będzie udowodnić,że zgonu nie było – Indie to jeden wielki syf,od trądu po superbakterie.

  19. Jak najbardziej tak, daje to z daleka piramidą finansową.
    Cwany lisek znalazł sposób aby zamknąć rozdziawione buzie krzykaczy odnośnie niewypłacanych środków.

  20. Nie dziwi Was zablokowana kwota 137 mln? :)
    http://kabbalahstudent.com/the-magic-of-137/

  21. 1234??

  22. Ja też kiedyś sobie usunąłem hasło do portfela moje 300 zł :*(

  23. Jakiś update’cik tematu się szykuje?
    Podobno udało się złamać zabezpieczenia i dostać się na serwery QuadrigaCX ale kasa zniknęła pół roku przed domniemaną śmiercią szefa…

Odpowiadasz na komentarz kez87

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: