Белошляпочный (то есть добрый) хакер несколько дней назад воспользовался уязвимостью в программном обеспечении онлайновых кошельков Blockchain и увёл 225 BTC, а сейчас вернул украденные средства. Это достойный поступок достойного человека, пусть и пожелавшего и дальше сохранять анонимность.

Пользователь форумов BitcoinTalk под ником johoe написал, что 8 декабря несколько сотен адресов пострадали от бага в программном обеспечении. «Я взял на себя смелость сохранить некоторые средства с этих кошельков, прежде чем они будут опустошены другими. Если вы сможете убедить меня, что деньги принадлежат вам (подписать сообщение недостаточно, потому что секретные ключи уже скомпрометированы), то я верну средства», — сказал он.

Вдобавок, хакер опубликовал 1019 адресов Bitcoin, пострадавших от уязвимости.

Сама компания Blockchain сразу признала, что генерация уязвимых секретных ключей началась из-за ошибки штатных программистов, которые 8 декабря 2014 года внесли баг в систему при обновлении. После этого генератор случайных чисел работал таким образом, что сгенерировать секретный ключ мог любой, кто знает связанный с ним открытый ключ.

Проблема наблюдалась всего 2,5 часа, и от неё пострадали лишь 0,0002% пользователей сервиса.

Позже компания даже пообещала компенсировать ущерб всем пострадавшим, так что поступок белошляпочника стал только дополнительным бонусом.



10 комментариев

  1. https://vk.com/DRK_RUS

    10.12.2014 at 22:09

    Молодец чувачёк. Походу он много времни уделял анализу кода bitcoin пока ему не посчастливилось узреть свежайший баг. В нужное время в нужном месте.

  2. 11.12.2014 at 11:35

    1. В заголовке статьи 225, в тексте 255 BTC, так сколько всё-таки украли?
    2. Не вернул, а пообещал вернуть, причём тем, кто предоставит бумагу, что он это он, за подписью Господа Бога. 🙂

  3. 11.12.2014 at 12:32

    > от ней пострадали лишь 0,0002% пользователей
    Хо, парнишка с дерёвни пришёл новости газету сочинительствовать.

  4. 11.12.2014 at 12:32

    Очень интересный хакер, который успел не только вовремя среагировать на коммит, но ещё и проанализировать его, узреть багу, написать генератор ключей и угнать деньги, использовав эти ключи. Походу, он сам этот коммит и сделал.

  5. 11.12.2014 at 14:52

    Косарь зелени чувак решил вернуть…

  6. 11.12.2014 at 20:44

    Обещать — не значит вернуть.

  7. 13.12.2014 at 11:08

    IP запалил просто где-то в логах, вот и решил «вернуть». :-))

Оставить мнение