Ny forklaring om det store danske bitcoin-røveri: DDoS-angreb var kun et røgslør

Den 17. november rettede ukendte gerningsmænd et mindre denial-of-service-angreb mod BIPS. To dage senere vendte angrebet tilbage, men i meget større omfang. Og indimellem de to DDoS-angreb udnyttede hackere huller i systemet for BIPS’ online-tjeneste til at opbevare bitcoins, en såkaldt hosted wallet.

Sådan lyder forklaringen nu fra Kris Henriksen, manden bag BIPS’ online-wallet, efter at han har fået genskabt serverlogs og kigget nærmere på forløbet. Tidligere var hans melding, at DDoS-angrebet blev brugt til at slå hul på sikkerheden.

»Det var forkert meldt ud. Efter det første DDoS-angreb var hackerne inde og fandt et hul, og så slettede de alt, og maskerede det, de havde gjort, bagefter med det store DDoS-angreb, som ramte forbindelsen til SAN’et og fik serverne til at gå ned,« siger Kris Henriksen til Version2.

Tjenesten var delt op i ’cold wallet’, hvor kundernes bitcoins var låst ned, og en ’hot wallet’, hvor de blev lagt over, når der skulle flyttes rundt på dem. Men på grund af en fejl i algoritmen, var hele beholdningen af bitcoins endt med at stå i ’hot wallet’-afdelingen.

»Med den succes, vi har haft, med alt det folk har købt og solgt, har algoritmen flyttet det hele over i hot wallet. Her fandt hackerne så et hul, som de kunne udnytte,« siger Kris Henriksen.

Det skete så, ifølge hans opklaringsarbejde, mens BIPS havde travlt med at reagere på det første, mindre DDoS-angreb og tage forholdsregler.

»Vi har jo ikke et helt datacenter til rådighed for BIPS. Det er begrænset, hvad vi har af forsvarsværker mod den slags,« siger han.

Forstår ikke beskyldninger om inside-job

Udmeldingen om hackerangrebet og tyveriet af bitcoins til 5,5 millioner kroner er mildt sagt blevet mødt med skepsis, blandt andet i debatten på Version2. Her beskylder flere Kris Henriksen for selv bare at rende med pengene.

»Jeg kan godt se, at folk ikke er vilde med det. Jeg skal have brækket mine ben og alt muligt. Det forstår jeg ikke. Det havde jeg ikke regnet med, når jeg har kørt en fin, gratis service,« siger Kris Henriksen til beskyldningerne.

Noget af kritikken mod Kris Henriksen har gået på, at han tidligere har lukket en tilsvarende tjeneste, uden rimelige muligheder for, at brugerne kunne få deres penge ud. Men den udlægning afviser han klart.

»Walletbit blev lukket, fordi der næsten ikke var nogen brugere. Jeg ville starte noget nyt op i stedet med BIPS. Og det passer ingen steder, at folk ikke fik deres penge tilbage. Der stod klart, at de kunne henvende sig pr. e-mail for at få deres penge tilbage, efter Walletbit lukkede, og det har de også gjort,« siger han.

Kun 4-5 kunder havde indtil angrebet midt i november stadig bitcoins stående fra en Walletbit-konto – men de penge er nu væk, sammen med resten af BIPS’ beholdning af bitcoins.

»Alt blev stjålet. Og jeg har selv mistet rigtig meget, og det har dem, jeg arbejdede sammen med, også,« siger Kris Henriksen.

Er der nogen måde, du kan bevise på, at du ikke selv har taget pengene? Er der noget dokumentation, du kan lægge frem, for at stoppe beskyldningerne?

»Lige så snart, vi er færdige med vores analyse af serverlogs og har skrevet en anmeldelse til politiet, vil jeg hellere end gerne gøre den offentlig. Jeg ved ikke, hvad jeg ellers kan gøre. Folk må komme over og tale med mig – jeg gemmer mig ikke. Så må jeg regne med, at det er bevis nok for folk. Det kan lyde hoverende, men kan ikke se, hvad jeg ellers kan gøre,« siger Kris Henriksen.

Vil selv konvertere til danske kroner

Wallet-delen af BIPS bliver nu lukket ned, og Kris Henriksen forklarer, at det aldrig var lagt an på at være en sikker bankboks for store indskud.

»Vores tjeneste var ligesom en tegnebog baseret på, at du kunne smide en smule bitcoins deri, så det var nemt at betale med dem ude i byen. Det var ikke meningen, at den skulle bruges til hele deres opsparing,« siger han.

Hvad vil du råde folk til at gøre med deres bitcoins fremover?

»Folk må selv lave en risikovurdering, men hvis jeg nogensinde får nogle bitcoins igen, vil jeg konvertere en del af dem til danske kroner, og gemme resten i en wallet, hvor du selv ejer den private nøgle, for eksempel på telefonen,« siger Kris Henriksen.

Du siger, at du vil lukke wallet-tjenesten, men fortsætte med betalingsservice-forretningen i BIPS. Men der indgår jo også pengestrømme i den, der skal beskyttes mod hackere?

»Vi kan blive hacket igen, men der vil ikke være nogen bitcoins, vi holder, så hackerne vil ikke kunne stjæle noget. Og uanset hvad vil der blive sat mere fokus på sikkerhed. Vi vil få nogle udefra med certifikater ind og kigge på sikkerheden. Hvis vi har noget at betale dem med,« siger Kris Henriksen.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>