A "Viszkis" film kapcsán rengeteg emberben merülhetett fel az a kérdés, hogy vajon megismételhető lenne-e a pénzszerzésnek ez a kétes megítélésű módszere, ugyanebben a formában. A következtetés szinte kivétel nélkül minden társaságban az, hogy: nem.
Ambrus Attilának sikerült közel 30 pénzintézetet megrövidítenie szinte pontosan ugyanazzal a módszerrel: taxiból ki, bankba be, bankból ki, taxiba be. A 90-es évek Magyarországának biztonsági intézkedési nem kevés kivetnivalót hagytak maguk után, ezt a "piaci rést" aknázta ki Ambrus Attila. Valószínűleg nagyban neki is köszönhetően a bankok elkezdtek sokkal több figyelmet fordítani a rájuk bízott pénz őrzésére, ezért a hagyományos értelemben vett bankrablás ilyen formában már szinte kivitelezhetetlenné vált. De tényleg lehetetlen küldetés kisebb-nagyobb összegekhez hozzájutni a legálistól eltérő módszerek alkalmazásával a 21. században?
Ebben a bejegyzésben a legnagyobb kripto-rablásokat fogjuk kicsit körüljárni, különös tekintettel arra, hogy milyen hibák kihasználásával sikerült véghezvinni egy-egy ilyen akciót és hogy sikerült-e nyomok nélkül megúszni, vagy ugyanúgy végezték mint a 90-es évek leghíresebb magyar kasszafúrója.
5. Az Enigma ICO
Kívülállóként akár még viccesnek is tekinthető akció nem állt egyébből, mint, hogy a szóban forgó hacker kiderítette, hogy az Enigma vezérigazgatójának jelszava egy korábbi szivárogtatás alkalmával (Ashley Madison hack) már egyszer kikerült a netre, így néhány próbálgatás után sikerült is bejutnia az illető email és Slack accountjába - ahonnét már egyenes út vezetett a sikerhez: Elindítani úgy az ICO-t, hogy a bejövő "támogatások" az eredeti Ethereum cím helyett már a hacker saját címére érkezzenek egy egyszerű címcserével. Az akció során sok millió dollárnyi "adomány" került így a hackerhez, amit aztán ő természetesen jótékony célokra fordított... vagy mégsem?
4. Tether-hack
A Tether már önmagában egy különleges kriptopénz, hiszen a coin-ok értékét az amerikai dollárhoz igazítják 1:1 értékben, ezért is áll ellen minden egyes pump-nak és dump-nak, ami az egész piacot érinti. Állításuk szerint minden egyes coin mögött ugyanennyi dollár van elraktározva fedezetként valahol egy saját, elhatárolt számlán. Tehát lényegében a dollárt viszik fel blockchain-re annak minden egyes pozitívumával (és negatívumával) együtt. Mindenesetre valódi piaci igényt elégíthetnek ki, hiszen előkelő helyen állnak jelenleg is a kirptovaluták közt.
A hackereknek itt egy Tether-es kincstári digitális pénztárcát sikerült teljesen kiüríteniük, melyben 31 millió dollárnak megfelelő Tether-t tároltak. A Tether team által kiadott nyilatkozatban azt állítják, hogy ezek a Tether tokenek soha nem lesznek visszaválthatóak dollárrá egy szoftverfrissítésnek köszönhetően - amit a node-ok vagy frissítettek, vagy nem -, másrészről meg ugye vannak, akik közben gyanútlanul vásároltak ezekből a Tether-ekből. Kérdés, hogy etikus-e őket is jogosan büntetni, ám ahogy általában, úgy itt is érvényes ez a tézis: time will tell.
3. Parity-hack #1
Egy igazi, filmbe illő akciónak lehettek szemtanúi azok, akik július 19-én követték az eseményeket a Medium-on: egy csapat jó fiúnak kellett rövid ideig rossz fiúként viselkedie annak érdekében, hogy meggátoljanak egy láncreakciót, ahol tényleg minden egyes másodperc számított. A hackereknek így is sikerült 153.000 Ethert meglovasítaniuk (mai árfolyammal számolva $70.000.000-t).
Egy új funkció, a több-aláírásos digitális pénztárca egyik hibáját sikerült kiaknáznia pár leleményes hackernek úgy, hogy első lépésként a pénztárca kizárólagos tulajdonjogát szerezték meg egy ügyes trükkel, majd az abban tárolt 153.000 db Ethereumot küldték át saját számlájukra.
Szerencsére egy csapat white hat hacker még időben közbe tudott lépni és az összes többi bug-os pénztárca tartalmát át tudták menekíteni pár biztonságosabb pénztárcába. Nekik köszönhetően $80 milliónyi Ethereum-ot sikerült megmenteni a végleges eltulajdonítástól, hiszen a történet végén minden egyes pénztárca-tulajdonos visszakapta a kimenekített étereit.
2.5 Parity-hack #2
A villám nem csap kétszer ugyanoda? Ebben az esetben mégis! Méghozzá sokszoros erővel. A @devops199 nevű hacker 2017 november 8-án "véletlenül" átruházta magára a Parity több-aláírásos digitális pénztárcák közös könyvtárának tulajdonjogát, majd ugyancsak véletlenül meg is semmisítette ezt a könyvtárat, ami egyenértékű volt azzal, mintha valaki magára zárta volna egy bankszéf ajtaját, majd felgyújtja a bent őrzött bankókat. (a Viszkis filmben is van ugye egy hasonló jelenet, ahogy a banki alkalmazott bezárkózik a rácsos ajtóval védett széfbe és inkább feláldozná az életét, mint, hogy kinyissa az ajtót) A mai napig kérdés, hogy szándékos volt-e ez az akció, vagy véletlen, mindenestre a hatását sokan megérezhették. A hack következtében 300 millió dollárnyi ethereum vált örökké elérhetetlenné. - Egy esetleges hard-fork-kal természetesen orvosolható lenne a dolog, azonban ez rengeteg kockázatot rejt magában, amivel el is érkeztünk a következő nagyszabású akcióhoz.
2. DAO-hack
A történelem eddigi második legnagyob kripto-hackjét egy olyan hálózati entitás ellen követték el, ami akár a jövő demokráciájának egyik alappillére is lehet(ne), ez az ún. Decentralizált Önálló Szervezet (DAO), melyet még 2016-ban kereszteltek el így. Ennek a kiber-demokratikus intézménynek a szabályrendszerét a benne résztvevők határozzák meg már rögtön a legelején, ami az indítás után önjáróvá válik. Ha a szabályrendszer és a működés alapelvei már be vannak programozva, második lépésként jön a kezdeti finanszírozási időszak (ICO-szerűen), ahol bárki részesítheti pénzügyi támogatásban az áltla szimpatikusnak tartott DAO-t. Amint megvan a szükséges pénzügyi fedezet, a szervezet megkezdheti működését és a finanszírozók eldönthetik, hogy a szervezet milyen módon használja fel a begyűjtött támogatásokat. Fontos kihangsúlyozni, hogy a tokenekért cserébe nem tulajdonjog jár, hanem csak szavazati jog, ezáltal a szervezet önálló életet élhet az Ethereum hálózaton, anélkül, hogy bárkinek is a tulajdonába kerülne. (A Bitcoin is lényegében egy DAO, hiszen néhány fejlesztői csapat tesz mindig javaslatot a változtatásokra, majd a full node-ok és miner-ek szavaznak ezekről a változtatásokról a javasolt szoftverfrissítések feltelepítésével, valamint a hasing power csatornázásával, meghatározva a Bitcoin hálózat irányát, de mindezt anélkül, hogy bárki is tulajdonolná magát a hálózatot).
2016 június 18-án egy hackernek sikerült 3.6 millió ether-t meglovasítania a rendszer egyik gyermekbetegségének kiaknázásával: a tokeneket átmozgatta egy ún. child-DAO-ba, aminek következtében 28 napra mindenki számára elérhetetlenné tette ezeket az éthereket. Mivel a demokráciák egyik legnagyobb hibája a lassúság és körülményesség, így a szavazatok gyors összegyűjtésének hiányában nem sikerült időben ellenakcióba lendülni.
És itt érkeztünk el ahhoz a pillanathoz, mikor is dönteni kellett: Visszaállítják a rendszert egyik korábbi állapotába, ezáltal minden éther visszakerül eredeti helyére DE ezzel egy időben a rendszer egyik alappillérét döntik ki, -hiszen pont a belenyúlás lehetőségétől mentes rendszer megalkotása volt Buterin fejében, mikor megírta az eredeti kódot - vagy minden megy tovább úgy, ahogy eddig, realizálva ezzel a tokenek elvesztéséből adódó veszteségeket de megőrizve a rendszer integritásába vetett hitet. Végül a ethereum node-ok jelentős többsége elfogadta a Vitalik Buterin által javasolt hard-fork-ot és az Ethereum-ot visszaállították a "kiber-bankrablás" előtti állapotra, viszont az eredeti, változtatásmentes ethereum lánc is életben maradt, mitöbb szépen növekedett az Ethereum lánc mellett.
A változtatás-ellenes hívek Ethereum Classic-nak nevezték el ezt a blokkláncot, ami a tolvajnak is kedvezett, hiszen így lehetősége nyílt pénzre váltania az eltulajdonított 3.6 millió tokent ezen az alternatív Ethereum láncon.
Talán ez az eset hasonlít a leginkább a Viszkis akciójára, mivel végül senki sem károsodott az események következtében, hiszen megmaradt a káposzta is (Etherek) és jóllakott a kecske is (a tolvaj is sikerrel húzott hasznot).
Az ellopott vagyon legreálisabb becslése $67.4 millió dollár körül mozog.
1. Mt.Gox-hack
A minden idők legkomolyabb virtuális bankrablását az teszi még izgalmasabbá, hogy egyáltalán nem is biztos, hogy egy külső támadó akciójáról van szó és nem az Mt. Gox tőzsde eredeti tulajdonosának, egy bizonyos Jeb McCaleb pénzkimenekítő, vagy a tőzsde második tulajdonosának, Mark Karpelés-nek a kárcsökkentő (majd elképesztő méretű hasznot eredményező) tevékenységéről.
Ez a sztori önmagában is bőven megérne legalább 1, ha nem 5 bejegyzésnyit, de megpróbálom most mindössze néhány mondatba sűríteni a lényeget:
A Mt. Gox volt az első tőzsde, ahol bitcoin-t lehetett adni-venni. Volt egy adott pillanat, mikor az összes forgalomban lévő bitcoin 80%-a rajtuk keresztül cserélt gazdát. A nyomozati anyag szerint elképzelhető, hogy már a tulajdonosváltás előtt lába kelt 80.000 Bitcoin-nak támadások sorozata által keletkező sebezhetőségeken keresztül, így a második tulajdonos ezt a hiányt próbálhatta meg betömködni vitatható módszerekkel, de közben a bitcoin árfolyamának rohamos növekedésével egyre nagyobb tartozásai keletkeztek a a tőzsde felhasználóinak irányába.
Mark Karpelés nagyon jó programozó volt, de sajnos az aranyszabály rá is érvényesnek bizonyult: a világ legjobb programozója sem tud minden lehetséges támadás ellen felkészülni. Egy programkódban felejtett hiba miatt elő lehetett idézni, hogy a rendszer kétszer fizessen egyetlen tranzakció során, így, ennek a bug-nak a kiaknázásával dupla mennyiségű bitcoin-t lehetett szerezni 1 áráért.
Így az évek során sikerrel vezettek ki 744.408 db BTC-t a rendszerből, ami mai árfolyammal számolva csillagászati összegnek tekinthető. A nyomozás a mai napig nem záródott le, így még mindig nyitott kérdés, hogy mi is történt valójában ezalatt a pár év alatt, amíg az Mt.Gox tőzsde operált.
A kérdésre a válasz tehát: igen, léteznek még nagy volumenű bankrablások, viszont teljesen más kvalitásokat kívánnak meg, mint a 90-es években.
Ha tetszett a cikk, kövesd a blogot, vagy kövess minket a facebookon.
