Криптовалютные биржи оставили без защиты около 1 млн приватных ключей с доступом к $18 млн. Халатность вскрыли так называемые белые хакеры.

Две криптобиржи случайно раскрыли тысячи секретных ключей и их личные данные, а это значит, что хакеры могли в любой момент без особенных усилий похитить криптовалюты на сумму свыше 18 млн долларов из кошельков пользователей.

Lykke: заходи, бери что хочешь

Согласно исследованиям, опубликованным порталом CyberNews, швейцарская криптовалютная биржа Lykke хранила в горячих кошельках более $16.5 млн пользовательских средств, доступ к ним можно было получить из открытых баз данных.

После проверки базы данных аналитики обнаружили API-ключи Lykke, открывавшие неограниченный доступ к внутренней работе биржи. Затем они выявили около 80000 незащищенных приватных ключей. Также были обнаружены «ключи основной сети» Lykke, которые якобы обеспечивали доступ к монетам биржи на сумму $25000. Это означает, что при желании хакеры могли бы скрыться с миллионами долларов клиентов, если бы захотели. Хорошо, что это были белые хакеры.


Справка: белые или этичные хакеры (white hats) занимаются тестированием безопасности компьютерных систем. В отличие от обычных хакеров они ищут уязвимости не с целью наживы, а чтобы помочь разработчикам лучше защитить свой продукт.


Hubdex: никаких секретов

Lykke — не единственная биржа, которая серьезно нарушила принципы должной осмотрительности и использовала незашифрованную общедоступную базу данных. На те же грабли наступила китайская торговая площадка Hubdex. Так называемая «децентрализованная» биржа оставила на всеобщее обозрение не только ключи API, но и полные данные пользователей и информацию об их идентификации (KYC).

В довершение ко всему аналитики обнаружили более 1 миллиона приватных ключей, которые опять же обеспечивали неограниченный доступ к средствам клиентов.

В рамках исследования эксперты сканировали интернет в поиске открытых баз данных MongoDB и проверяли их по криптовалютным ключевым словам. После фильтрации по ключевым словам они вручную проверяли найденные базы данных на наличие конфиденциальной информации.

Масштабы обнаруженных в открытом доступе данных поражают. Вместо того, чтобы обеспечивать пользователей безопасностью и анонимностью, эти платформы поставили под угрозу не только личные данные, но и деньги своих клиентов, говорится в исследовании.

Согласно отчету, только Lykke ответила белым хакерам, подтвердив, что незащищенная база данных принадлежит ей, и быстро справилась с проблемой. Хотя аналитики не смогли связаться с Hubdex, они сообщили, что уязвимость была оперативно устранена.