Criminelen stelen voor 27 miljoen euro aan ether door lek in wallet

Criminelen hebben meer dan 150.000 ether, omgerekend momenteel ongeveer 27 miljoen euro, kunnen stelen door een kwetsbaarheid in de walletsoftware van Parity. White hats zeggen uit voorzorg andere kwetsbare wallets leeggehaald te hebben.

Parity bevestigt dat er een lek aanwezig was in versie 1.5 van zijn walletsoftware, dat alle gebruikers met multisigwallets trof. Dat zijn wallets waartoe verschillende mensen toegang hebben met hun eigen sleutels, zodat niet alle fondsen door een enkel persoon worden beheerd. Er is inmiddels een patch uitgebracht, aldus Parity. Volgens Coindesk maakte de kwetsbaarheid het voor de aanvallers mogelijk om 150.000 ether te stelen. Het ethereumadres van de hackers toont momenteel nog een tegoed van ongeveer 83.000 ether.

Een ander adres, dat toebehoort aan The White Hat Group, toont een tegoed van ongeveer 377.000 ether, wat neerkomt op 67 miljoen euro. In een mededeling stelt de groep uit voorzorg kwetsbare wallets te hebben leeggehaald na de ontdekking van het lek. Over het lek zegt de groep dat dit eenvoudig te misbruiken was. De groepering claimt een nieuwe multisigwallet voor getroffenen te willen openen en de ether te willen teruggeven.

De diefstal heeft plaatsgevonden bij drie organisaties: Swarm City, Edgeless Casino en aeternity. Zij hebben alle drie verklaringen gepubliceerd. Dit incident volgt op eerdere ethereumhacks. Zo wisten onbekenden eerder deze week miljoenen dollars aan ether te stelen bij de initial coin offering van het Israëlische CoinDash. Begin deze maand bleek dat de grote Zuid-Koreaanse beurs Bithumb was gehackt.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 20-07-2017 11:13
101 • submitter: crunchytail

20-07-2017 • 11:13

101 Linkedin

Submitter: crunchytail

Lees meer

Coinbase betaalt tienduizend dollar voor door Nederlandse student gevonden bug Nieuws van 21 maart 2018
Populaire iOS-app doet zich voor als walletdienst MyEtherWallet - update Nieuws van 11 december 2017
Fokken van virtuele katten eist zijn tol van de Ethereum-blockchain .Geek van 5 december 2017
Bug in Parity-wallet bevriest miljoenen euro's aan ethereum Nieuws van 8 november 2017
'Phishingcampagne gericht op MyEtherWallet heeft 13.000 euro opgeleverd' Nieuws van 25 oktober 2017
Enigma Project waarschuwt investeerders geen ether over te maken na hack Nieuws van 21 augustus 2017
Onbekenden stelen zeven miljoen dollar aan ether door aanpassen website Nieuws van 18 juli 2017
Grote Zuid-Koreaanse bitcoin- en ethereumexchange is gehackt Nieuws van 5 juli 2017
Decentrale autonome organisatie The DAO gehackt, Ethereum-blockchain niet Nieuws van 17 juni 2016
Op Ethereum gebaseerde start-up haalt hoogste crowdfundbedrag tot nu toe binnen Nieuws van 17 mei 2016
Meer producten en artikelen
Netwerk en systeembeheer Ethereum Hack Security

Reacties (101)

-Moderatie-faq
101
98
56
6
1
23
Wijzig sortering
Rannasha
20 juli 2017 11:24
Belangrijk om te beseffen is dat Parity geen "web wallet" of vergelijkbare online dienst is. Dat web wallets vatbaar zijn voor hacks is evident, wat een van de redenen is dat vaak wordt aangeraden om significante hoeveelheden cryptocurrency altijd in eigen beheer te houden.

Parity boodt de mogelijkheid om multi-signature (multi-sig) accounts aan te maken. Dit zijn accounts waar meerdere personen moeten ondertekenen om geld te kunnen versturen. Deze werden aangemaakt in de vorm van smart contracts die in de Ethereum blockchain worden opgenomen. Echter bevatte de implementatie hiervan fouten, waardoor het mogelijk was voor een aanvaller om het geld uit een dergelijk smart contract weg te halen.

Ik heb eerder vandaag een blogpost geplaatst over de Parity hack, in hoeverre deze te vergelijken is met de TheDAO hack van een jaar geleden en mijn gedachten hierover: Rannasha's Quiet Corner: Ethereum - A tale of two hacks
kwaazaar
@Rannasha21 juli 2017 13:03
Solidity is een jonge taal, Ethereum is een jong platform, bedrijven die oplossingen bovenop Ethereum bouwen mbv solidity (smart contracts) zijn nog jong. Toch gaat het om serieuze sommen geld en vertrouwen afnemers van deze producten, zoals deze wallet eigenaren er blijkbaar blind op dat alle partijen in staat zijn om top kwaliteit werk te leveren. Ik vraag me serieus af of bv aeternity updates van geth of parity valideren. Is ook niet te doen. Hoe verantwoord is het dan dat zo'n startup zijn (met een ico vergaarde) geld aan zo'n wallet toevertrouwd? Ik denk dat het veel verstandiger is om voorlopig hardware wallets te blijven gebruiken, zolang deze techniek nog in de kinderschoenen staat.
Sandwalker
20 juli 2017 11:28
Cryptovaluta zijn ooit bedacht om te zorgen dat je voor je vertrouwen in de munt niet afhankelijk hoefde te zijn van de bestaande ondoorzichtige bank infrastructuur. Nu lijkt het er echter op dat je vertrouwen in de walletprovider kritisch is. En deze partijen zijn zo ondoorzichtig als wat.
Combineer dat met allerlei nieuwe partijen die een verdienmodel zien en je krijgt dit soort toestanden.
Op basis van het artikel kun je niet beoordelen of de beveiliging slecht was. Ik denk dat ook bij een goede beveiliging er heel veel werk wordt gedaan om de beveiliging te omzeilen: Miljoenen aan vrij verhandelbare digitale valuta maakt dat er voor mensen met een beperkt moreel besef een behoorlijke drijfveer is om te proberen de aanwezige beveiliging te omzeilen.
BlueTooth76
@Sandwalker20 juli 2017 11:40
Het heeft gelukkig niets met de veiligheid van Ethereum of de blockchain erachter te maken.

Het gaat om een multi-signature contract dat door Parity is geschreven in de programmeertaal "Solidity". Zo'n contract is er voor bedoeld om te zorgen dat niet 1 persoon alleen de funds kan verzenden, van minimaal 2 deelnemers (of een escrow) is dan een signature vereist. Dat is handig bij grote projecten waar je de garantie wil dat niet 1 persoon het geld beheert.

In de code voor dit contract is (sinds een update in januari) een forse bug ontstaan waardoor "iedereen" ownership kan nemen en kan signeren.

Best slordig, zeker als je beseft dat Gavin Wood (één van de grondleggers van Ethereum) onderdeel uitmaakt van Parity en dus ook de code geschreven of gescreend heeft.
Ryan1981
@BlueTooth7620 juli 2017 12:30
We stoppen wel een hoop vertrouwen in de ontwikkelaars van dit soort software. Wanneer het om dit soort bedragen gaat is het natuurlijk niet ondenkbaar dat sommige de verleiding niet kunnen weerstaan om bewust fouten er in te laten om zo anoniem in 1 keer zo veel geld binnen te halen dat je nooit meer hoeft te werken...
BlueTooth76
@Ryan198120 juli 2017 12:35
De broncode van dit contract is openbaar en door iedereen in te zien, blijkbaar is het niemand opgevallen (behalve de hacker).
Ryan1981
@BlueTooth7620 juli 2017 12:52
Idd, blijkbaar is deze methode niet goed genoeg. Ik kan me zomaar voorstellen dat iemand bewust fouten er in programmeerd waar makkelijk overheen gelezen wordt en dan maar afwachten of er 1 niet opgemerkt wordt. Het hoeft maar een keer goed te gaan en je hoeft nooit meer te werken.

Hier nog een mooi voorbeeld van hoe makkelijk je over iets heen kan lezen:

https://mtlynch.io/stole-siacoins/

[Reactie gewijzigd door Ryan1981 op 20 juli 2017 12:55]

Anoniem: 310408
@BlueTooth7620 juli 2017 13:12
De broncode van dit contract is openbaar en door iedereen in te zien, blijkbaar is het niemand opgevallen (behalve de hacker).
Die omdat hij de sources had dit lek natuurlijk veel makkelijker kon vinden dan als hij met gedecompileerde output of door experimenteren had kunnen doen.

Als je je lekken openbaar maakt zijn de hackers natuurlijk blij.
rob12424
@Anoniem: 31040820 juli 2017 18:16
Je kan het ook zo zien: doordat het opensource was konden dus een paar White hat's Snel de code uitpluizen en de rest hacken zodat dat voorlopig veilig is.

Cryptovaluta staat nog aardig in de kinderschoenen. Doordat ze nog niet op zijn is er daarnaast een boel mogelijk aan speculatie.
Iemand die bijvoorbeeld een Bitcoin koopt voor 1 euro en de waarde stijgt en die Bitcoin is opeens 1000 euro waard en wordt gestolen. Dan is het gelijk er is 1000 euro gestolen. Terwijl dat ook speculatie is.
Praetextatus
@BlueTooth7620 juli 2017 19:46
En nu blijkt toch ook dat een ontwikkelaar geen tester is en hoe belangrijk goed testen is.
Blackboard
@Sandwalker20 juli 2017 11:40
En deze partijen zijn zo ondoorzichtig als wat.
Ik ben het hier niet mee eens. De genoemde walletsoftware is open-source en is door iedereen in te zien: https://github.com/paritytech/parity. Volledige transparantie. De betreffende bug is maandenlang aanwezig geweest maar niemand is het opgevallen, tot gisteren... Dat betekent niet dat het systeem ondoorzichtig als wat is, maar dat er meer geld moet worden geinvesteerd in QA en code reviews. Deze bug wordt als een beginnersfout beschouwd en onvoorstelbaar dat hij nog niet eerder is opgemerkt.
EpicKip
@Blackboard20 juli 2017 13:13
maar dat er meer geld moet worden geinvesteerd in QA en code reviews. Deze bug wordt als een beginnersfout beschouwd en onvoorstelbaar dat hij nog niet eerder is opgemerkt.
Dus geen fatsoenlijke QA als het gaat om ladingen geld? Ondoorzichtig misschien niet, maar niet te vertrouwen.
Sandwalker
@Blackboard20 juli 2017 13:32
Ik doelde op deze zin uit het artikel voor wat betreft de ondoorzichtige partijen: De diefstal heeft plaatsgevonden bij drie organisaties: Swarm City, Edgeless Casino en aeternity
Mirved
@Sandwalker20 juli 2017 11:52
Crypto is net als internet in zijn begin jaren nog in de "wilde westen" fase. Er is nog weinig regulering en veel gevaar doordat nog niet alles tot in de puntjes uit is gewerkt. High risk maar wel potentie voor high reward. Als je deze risico's niet wilt lopen dan raad ik je aan om de komende 5 jaar nog even te wachten totdat alles is uitgewerkt.
raptorix
@Mirved20 juli 2017 12:00
Alleen al dat je het woord regulering gebruikt geeft aan dat je het concept kennelijk niet heel goed begrijpt, je wilt bij cryptocurrencies geen regulering maar standaarden, of dacht je dat het wenselijk was als de AFM toezicht gaat houden op Cryptocurrencies?
Vizzie
@raptorix20 juli 2017 12:57
Alleen al dat je denkt dat hier op termijn geen regulering op komt in de een of andere vorm geeft aan dat je misschien heel veel van cryptocurrencies weet maar over de grote boze wereld nog een hoop te leren hebt ;)
raptorix
@Vizzie20 juli 2017 14:03
Dat valt te bezien, daarnaast hoe wil men cryptocurrencies stoppen? Men kan moeilijk het complete internet platleggen, daarnaast zou je cryptocurrencies via TOR achtige technieken kunnen laten verlopen. Maar goed, als je vind dat toezicht zo nuttig is, en dat je kennelijk verwachten dat de politiek dat voor je regelt, dan moet je maar eens goed kijken naar de huidige monetaire puinhoop die het wereldwijd is.
MSalters
@raptorix20 juli 2017 14:38
De meest eenvoudige methode is om wisselkantoren te sluiten. Niet alleen fiat<->ongereguleerde cryptocurrency, maar ook geregeguleerde cryptiocurrency<->ongeregeguleerde cryptiocurrency. Je kunt effectief zelfs bestaande cryptocurrencies forken door ze te reguleren. Op één chain worden alleen gereguleerde transacties toegestaan, en de andere chain mag niet tegen fiat worden ingewisseld.
Vizzie
@raptorix20 juli 2017 17:03
Ik zeg niet dat ik het fijn vind dat daar regulering op gaat komen vanuit de politiek, maar het is ondenkbaar dat dat niet gebeurt als deze technologie volwassen en mainstream wordt. Gaat om veel te grote belangen om te denken dat men dit volledig vrij zal laten.

Dat regulering geen garantie tegen een grote puinhoop is ben ik met je eens.
Mirved
@raptorix20 juli 2017 12:07
Als ik het woord regulering noem moet je dat niet te letterlijk nemen maar gewoon begrijpen in welke context ik het bedoel.

Overigens is het nog niet zo onwenselijk om een wereldwijde instantie te hebben die toezicht houdt op bepaalde regels. Net zoals bij het internet de ICANN.

[Reactie gewijzigd door Mirved op 20 juli 2017 12:10]

raptorix
@Mirved20 juli 2017 14:01
Dat is niet vergelijkbaar, het ICANN is opgezet omdat de Amerikanen eerst het zeggenschap hadden over zaken als domeinnamen en IP ranges, dat kan internationaal nogal tot belangenverstrengeling leiden. Bij Crytocurrencies is dat niet het geval, immers een currencie is een op algoritme gebaseerd geld, kortom toezicht is niet nodig. Als jij een cryptocurrencie wilt starten met bijvoorbeeld een fysieke onderwaarde, dan staat je het natuurlijk vrij om zelf maatregelen te nemen welke het vertrouwen vergroten.
Mirved
@raptorix20 juli 2017 14:48
Jij vind toezicht niet nodig. Dat is niet iedereen met je eens. Een crypto die geleid wordt door een organisatie die de touwtjes in handen heeft over de richting en het beleid hoeft zo slecht nog niet te zijn. Zou jij niet zulke problemen rondom scalability hebben zoals bij Bitcoin nu.
Gamebuster
@Sandwalker20 juli 2017 11:55
Ik snap niet waarom mensen hun geld op dergelijke online wallets zetten...
Rannasha
@Gamebuster20 juli 2017 12:03
Parity is geen online wallet.
Galan
@Sandwalker21 juli 2017 09:20
Daarover klagen heeft geen zin.
Jij geeft je portemonnee ook niet aan iemand anders in beheer en als je dat wel doet loop je net zoveel risico als in deze dat hij leeggehaald wordt.
Ook bij cryptocurrency is het makkelijk genoeg om net als normaal je eigen wallet/portemonnee te beheren.
M.a.w. het risico is niet slechter of groter geworden dan bij normaal geld. Wat de integriteit en veiligheid van de currency zelf betreft is het wel verbeterd ten opzichte van normaal geld.
Het is dus niet zoals als jij doet voorkomen een verschuiving van een probleem maar een probleem wat als decennia lang bestaat al speelt het zich nu in een virtuale markt af.
stresskiller
20 juli 2017 11:17
daarom dus een hardware wallet ...
Sand0rf
@stresskiller20 juli 2017 11:22
Je bedoelt een portemonnee met biljetten en munten :)

Leuk hoor al dat crypto geld maar je moet wel het vertrouwen hebben dat de beheerder er ook verstandig mee omgaat, en dat lijkt in dit geval nou niet bepaalt goed te zijn gegaan.

Is dit gestolen geld nu ook nog te traceren op een later moment? Zoals je met gewone biljetten aan de hand van serienummers geld later kunt terugvinden.
BlueTooth76
@Sand0rf20 juli 2017 12:30
@Sand0rf

Als je dan toch reageert, lees je dan eerst een beetje in.

Juist bij crypto currencies heb je geen beheerder, dat ben je zelf.

In dit geval gaat het om een bug in een "smart contract", een stukje software dat door een derde partij is geschreven om "multi signatured wallets" te creëren. Je hebt dan meerdere mensen nodig om het geld te kunnen versturen, meestal 2 van de 3 mensen met een signature.

In die software van derden is een bug ontstaan en die is nu misbruikt.
Anoniem: 310408
@BlueTooth7620 juli 2017 13:17
Juist bij crypto currencies heb je geen beheerder, dat ben je zelf.
En om er iets mee te doen moet je services gebruiken. En die services hebben beheerders. Zoals in het onderhavige geval. En daar gaat het met regelmaat fout.

Als jij je coins alleen hebt om ze elke week eens te bekijken loop je niet veel risico maar zodra je de gegevens ergens intypt ben je afhankelijk van anderen.
MSalters
@Anoniem: 31040820 juli 2017 14:43
Nee, dan begrijp je echt niet hoe cryptocurrencies werken. Als jij mij wil betalen, dan is daarvoor geen "service" nodig. Net zoals het met cash ook niet nodig is.

Services heb je pas nodig voor complexe zaken, zoals deze "multi-signature wallet". De vergelijking is weer verhelderend. Met cash kun je ook niet afdwingen dat 2 mensen akkoord moeten gaan met een besteding, daar heb je dan een bank voor nodig.
kamerplant
@Sand0rf20 juli 2017 11:29
Stel dat dat zou zijn betekend dit niet dat iemand kan ingrijpen. Het platform heeft immers geen centrale beheerder met zulke bevoegdheden.
Mirved
@Sand0rf20 juli 2017 11:54
Met een hardware wallet ben je zelf de beheerder. Je hoeft dus geen vertrouwen te hebben in een andere beheerder.
BlueTooth76
@stresskiller20 juli 2017 11:52
Een hardware wallet had dit niet voorkomen, de bug zit in een multi-sig smart contract, niet in de blockchain.
Een hardware wallet die hetzelfde contract bevat, zou net zo kwetsbaar zijn.
Anoniem: 428562
@stresskiller20 juli 2017 13:11
Wat te doen als je hardware wallet defect raakt ?
Gamebuster
20 juli 2017 11:17
Kan je je "ethers" nou ook in een lokale wallet opslaan?
aadje93
@Gamebuster20 juli 2017 11:20
gewoon de client downloaden
Gamebuster
@aadje9320 juli 2017 11:49
Tnx. Ik ben nu de trotse bezitter van 1 ETH coin... (denk ik)
Sync duurt wel al erg lang. Wel strakke app, beter dan multibit voor bitcoin

Ether prijs ligt volgens mij nu ook gunstig om er 1tje te kopen

[Reactie gewijzigd door Gamebuster op 20 juli 2017 11:49]

WonnaPlay
@Gamebuster20 juli 2017 11:58
Als de sync heel erg lang duurt, staat wellicht de juiste port dicht op je router.
https://ethereum.stackexc...-with-very-slow-mist-sync

Zoals in de link omschreven staat, is het beter om de blockchain te syncen via geth.
1] Download geth & sluit je Myst wallet af
2] Open cmd op geth locatie en type "geth removedb"
3] Zodra het is verwijderd type "geth --fast --cache=1024"

Op deze manier haal veel sneller de hele chain binnen waardoor ook je updated wallet balans kan bekijken
Gamebuster
@WonnaPlay20 juli 2017 13:39
Het duurt wel lang, maar ik heb niet het idee dat het komt door mijn connectie, want CPU gebruik is wel heel hoog en hij lijkt bijna klaar te zijn. CPU gebruik (van mijn i7) zit al paar uur >50% van alle cores door die wallet :P Hij doet in ieder geval van alles
Anoniem: 310408
@Gamebuster20 juli 2017 13:20
Onthou wel dat het zo veilig is als je eigen computer. En als die verbonden is met het internet kan je daar eigenlijk nooi zeker mee zijn. Bewaar ze dus altijd offline (maakt het allemaal weer wat minder bruikbaar maar goed).
Gamebuster
@Anoniem: 31040820 juli 2017 13:39
Voor nu heb ik ze met wachtwoord op mijn macbook staan, inderdaad. Maar als de waarde >1000 euro wordt, investeer ik wel een keer in zo'n stick.
stresskiller
@Gamebuster20 juli 2017 11:20
uhm ja dus http://hardwarewallet.nl/ether-wallet/
Frons1
20 juli 2017 11:25
hoe zal dit de toekomst van Ether beïnvloeden? Gaat Ether deze klappen nog te boven komen ?
wat denken jullie ?
WonnaPlay
@Frons120 juli 2017 11:36
Dit zijn allen menselijke fouten op het netwerk van Ethereum en dit zal ook echt niet de laatste keer zijn. Het platform zelf is (nog) niet gehacked, noch is hier sprake van.

Smart Contracts zijn nog zeer nieuw en het is dan ook niet heel onverwachts dat er met de bestaande Smart contracts nog het een en ander mis kan gaan. Dat is het gevolg van (Beta-/Alpha)testing op een productie netwerk.

Desalniettemin zal dit zeker invloed kunnen hebben op de korte termijn toekomst van Ether. Echter als je kijkt naar "al deze hacks", zijn het tot nu toe allemaal zaken die je zou kunnen voorkomen.
Echter, door het gebrek aan technisch kloppende nieuwsberichten (zeker als het mainstream nieuws wordt), zal er vertrouwen verloren gaan en wellicht een zware correctie.
nickko
20 juli 2017 11:28
Erg vervelende zaak als je betalingen vanuit je ether wallet doet en deze opeens leeg is..

Het is dus erg belangrijk dat je een goede wallet kiest bij het bewaren van je cryptocoins. Al heb ik daar zelf geen bindend advies voor, aan de voorkant doen ze namelijk vrijwel allemaal hetzelfde:
  • Private Key
  • Keystore File (UTC/JSON)
Dan kom je bij hardware wallet zoals ledger of trezor. Hier heb ik zelf geen ervaring. Maar een hardware wallet kan weer 'gewoon' gestolen worden.

[Reactie gewijzigd door nickko op 20 juli 2017 11:31]

BlueTooth76
@nickko20 juli 2017 11:49
Bij een normale wallet, waar je zelf de private key beheert zal zoiets niet gebeuren.

Dit ging specifiek om een multi-signature contract waar een bug in is ontstaan.
De Ethereum blockchain is tot op heden veilig gebleken, er is ook geen reden om aan te nemen dat dat anders is.

Natuurlijk kan een hacker (of huis-tuin-en-keuken inbreker) wel je private key stelen, ga er dus zorgvuldig mee om, laat het niet op je bureau (of Windows desktop) slingeren.

Maar dat is bij geld niet anders, dat leg je ook niet in je vensterbank.

[Reactie gewijzigd door BlueTooth76 op 20 juli 2017 11:49]

3V3RT
@nickko20 juli 2017 13:08
Dat een HW wallet gestolen kan worden klopt, maar (in het geval van een Trezor) zit er een pin-mechanisme op (ala een random reader van de bank) die elke poging een langere delay introduceert. Zou praktisch dus niet doable zijn om er als crimineel iets mee te kunnen.
Maxxi
20 juli 2017 12:29
De bug waar het om gaat:

https://github.com/parity...7538eef268dffc125b081a82f

Duur grapje voor paar regels code.
Hubahub
20 juli 2017 11:23
Dit incident volgt op eerdere ethereumhacks. Zo wisten onbekenden eerder deze week miljoenen dollars aan ether te stelen bij de initial coin offering van het Israëlische CoinDash.

Dit heeft er helemaal niks mee te maken. De enige reden dat daar geld is gestolen is omdat de website gehacked was en ze gewoon het address van de wallet naar die van hen hebben aangepast.
In dit artikel gaat het over dat de wallet software lek was. Zijn twee totaal verschillende dingen.
php
@Hubahub20 juli 2017 11:27
Er staat helemaal niet dat het er iets mee te maken heeft?
Hubahub
@php20 juli 2017 11:32
Ze maken een link naar het artikel en zeggen dat er meerdere hacks zijn geweest op ethereum. In dit geval is dat waar. In het gelinkte artikel gaat het niet over dat er iets met ethereum gehacked is. Maar gewoon dat iemand op een website een address aanpast.

De link die ze leggen klopt dus niet.
Ja er is geld buit gemaakt. Maar dat heeft niks te maken met ethereum.
SpazzII
@Hubahub20 juli 2017 16:18
Er is geld buitgemaakt rondom etherium, is dat niet gewoon de link?
mae-t.net
@Hubahub20 juli 2017 12:23
Het gaat allebei om beveiligingsproblemen in diensten van derden betreffende ether, die door hackers geexploiteerd werden. Geen twee beveiligingsproblemen zijn hetzelfde natuurlijk maar of je je wallet nu zelf op een verkeerde plaats leegt omdat iemand een beveiligde website hackt of dat een ander de wallet voor je leegt terwijl hij nog op zijn plek ligt, maakt ook weer geen gigantisch verschil.

Als je toch graag beweert dat het om een compleet ander probleem gaat, dan kun je eventueel stellen dat Coindash waarschijnlijk gewoon de eigenaar van de site was die ermee is gaan lopen, dus dat er niets gehackt is. Ook nog niet bewezen, maar de enige manier waarop je "twee totaal verschillende dingen" hard kunt maken.

[Reactie gewijzigd door mae-t.net op 20 juli 2017 12:29]

Anoniem: 855731
20 juli 2017 11:15
Toch best wel ongelofelijk dat organisaties waar zoveel geld in om gaat, de beveiliging blijkbaar zo slecht op orde heeft.
SBTweaker
@Anoniem: 85573120 juli 2017 11:25
Dat is makkelijk om te zeggen, banken worden ook gehackt. Een perfect systeem bestaat niet er zal altijd toegang mogelijk zijn. Als er een lek wordt gevonden wil niet zeggen dat het slecht is.
jannes_beterams
@SBTweaker20 juli 2017 11:30
Maar deze fout, op dit niveau, zal bij een bank niet snel voor komen doordat ze aan heel veel eisen moeten voldoen en er tig code reviews plaatsvinden alvorens iets live gaat. Althans in NL. Daarvoor is de strenge regulering.
BlueTooth76
@jannes_beterams20 juli 2017 11:53
Banken zullen daarnaast niet snel met openbare blockchains werken, een hacker zou dan al een inside job moeten doen, bijvoorbeeld door een werknemer om te kopen. En ook zou misbruik van zo'n bug natuurlijk snel opvallen, want waar sluis je het geld heen?
SBTweaker
@jannes_beterams20 juli 2017 11:46
Laat me niet lachen, studiegenoten zijn bij de sns bank afgestudeerd het niveau was om te janken.
hiostu
@SBTweaker20 juli 2017 13:42
Maar een bank is daar verantwoordelijk voor als daar iets mee fout gaat. In dit geval kunnen de mensen fluiten naar hun geld en is er niemand die verantwoordelijkheid neemt.
OzBoz
@hiostu20 juli 2017 14:52
Waren banken maar ergens verantwoordelijk voor, het is toch aardig gebleken dat ze juist nergens verantwoordelijk voor zijn. Ze kloten dan ook weer net zo aan als voor 2008/2009
hiostu
@OzBoz20 juli 2017 17:05
Als er geld van mijn rekening gehaald wordt door een hack van de bank of door bijvoorbeeld skimming, dan krijg ik gewoon mijn geld terug.
jannes_beterams
@SBTweaker20 juli 2017 11:55
Als die als stagiair aan kritische systemen komt is dat idd om te huilen..
SBTweaker
@jannes_beterams20 juli 2017 12:02
Ze waren onderdeel van een team die werkte aan een applicate die dagelijks gebruikt wordt door veel klanten.
jannes_beterams
@SBTweaker20 juli 2017 12:07
Klinkt als Front-end werk wat waarschijnlijk gebruik maakt van endpoints voor de transacties. Ik heb het over hetgeen daarachter. Evengoed beschamend natuurlijk, als je kijkt hoeveel geld er omgaat in de bankcaire wereld!

Het niet hoeven voldoen aan eisen is hoe dan ook een groot probleem in de Crypto wereld. Alle hacks etc die de prijs drukken zijn daar resultaat van. Al die exchanges die er vandoor zijn gegaan met coins etc ook.
EpicKip
@SBTweaker20 juli 2017 13:17
Dat het gebruikt wordt door klanten betekend niet dat dat het uberhaupt iets met geld doet. Die studiegenoten van je hebben nooit het achterliggende transactie systeem aangeraakt (durf ik om te wedden)
Anoniem: 100047
@jannes_beterams20 juli 2017 11:48
Blijf hopen. Als er tenminste één instantie te noemen is in NL die de zaken juist niet op orde heeft dan is het de bankwereld wel, één grote droefenis.
jannes_beterams
@Anoniem: 10004720 juli 2017 11:52
Toch als betaalprovider wel op de backend systemen. Daar krijg je bijna niets gedaan zonder zeer strenge voorwaarden. Alle shit daar omheen maakt niets uit. Maargoed, mijn ervaring...
Anoniem: 100047
@jannes_beterams20 juli 2017 11:56
Dan mag je je gelukkig prijzen. Nieuwbouw die niet via OTAP gaan, maar toch maar gelijk richting de prod, want dat scheelt enorm veel tijd. Achterhaalde software, backends die de beste tijd hebben gehad, documentatie die niet er is of niet op orde is, etc.,etc. Een oud collega van mij werkt bij zo'n instantie, het is om je ogen uit je kop te schamen.
EpicKip
@Anoniem: 10004720 juli 2017 13:17
Bedoel je niet DTAP? :)
Anoniem: 100047
@EpicKip20 juli 2017 13:18
OTAP: ontwikkelen, testen, acceptatie, productie....
edit:
en is natuurlijk hetzelfde als DTAP...

[Reactie gewijzigd door Anoniem: 100047 op 20 juli 2017 13:19]

EpicKip
@Anoniem: 10004720 juli 2017 13:19
Ah een nederlandse versie, normaal gebruikt met de engelse notatie in de ICT wereld, had deze nog niet eerder gehoord.

voor tweakers die het niet weten (lijkt me stug):
Development
Test
Acceptation
Production

[Reactie gewijzigd door EpicKip op 20 juli 2017 13:20]

Anoniem: 100047
@EpicKip20 juli 2017 13:20
Al een editje gemaakt :) Normaal in de ICT wereld valt ook wel mee. Ik zit er al een heull tijdje in en wordt OTAP over het algemeen genoemd.
EpicKip
@Anoniem: 10004720 juli 2017 13:22
Hmm alle bedrijven waar ik kom is het DTAP omdat het voor het algemeen vooral voor developers van belang is en die programmeren natuurlijk al in het engels (ofja... engelse benamingen). Maarja leuk om een andere kant te zien
Anoniem: 100047
@EpicKip20 juli 2017 13:32
Development klinkt natuurlijk een stuk cooler dan een ontwikkelaar. Ik noem ze hier hobbyisten O-)
EpicKip
@Anoniem: 10004720 juli 2017 15:19
Development klinkt natuurlijk een stuk cooler dan een ontwikkelaar. Ik noem ze hier hobbyisten O-)
Development is ook geen ontwikkelaar, dat is een developer. En tegenwoordig krijg je zonder diploma bijna geen werk als dev dus hobbyist klinkt leuk maar is onzin.
Anoniem: 100047
@EpicKip20 juli 2017 17:35
Oh gut, spuit elf. Toen ik development neerzette en op enter drukte dacht ik al dat iemand ging bijten. Je hebt helemaal gelijk. En hobbyisten zijn ontwikkelaars zeer zeker, als ze de vrije hand krijgen wordt meestal iets gebouwd wat net niet aan de verwachtingen voldoet. Pas met een team van klanten, functioneel beheerders, bouwers en een projo komt er iets goeds van de grond af. Zo vaak al een discussie gestart met een ontwikkelaar gehad die niet door de ogen van de klant keek en graag zijn eigen interpretatie erop los liet. Een voorbeeld is dat een ontwikkelaar een knop moest maken om te kijken waar zijn kleding was; in militaire termen PGU. Deze ontwikkelaar maakte een knop met de tekst:'druk op deze knop om te kijken waar uw PGU is'. Ja, technisch gezien werkt het, maar functioneel?
Anoniem: 310408
@SBTweaker20 juli 2017 13:22
Dat is makkelijk om te zeggen, banken worden ook gehackt. Een perfect systeem bestaat niet er zal altijd toegang mogelijk zijn. Als er een lek wordt gevonden wil niet zeggen dat het slecht is.
Er zijn weinig gevallen van hacks op banken bekend waar geld is buitgemaakt. Natuurlijk wel misbruik etc maar succesvolle hacks op de servers zijn uitermate zeldzaam. Banken hebben op dat terrein hun zaken redelijk op orde.
SBTweaker
@Anoniem: 31040820 juli 2017 16:35
'weinig' https://tweakers.net/nieuws/zoeken/?keyword=bank+hack
vali
20 juli 2017 11:20
Tweakers mag wel beter zijn werk doen. Er is nog niet bekend dat er dadelijk geld is gestolen... Ben serieus benieuwd waar jullie het op baseren.
Quadradial
@vali20 juli 2017 11:24
Als je de linkjes leest waarin de publicaties staan van de gehackte organisaties kan je uitrekenen hoeveel er gestolen is en dat komt ongeveer op 150k aan ether uit.

[Reactie gewijzigd door Quadradial op 20 juli 2017 11:25]

vali
@Quadradial20 juli 2017 11:26
Als ik de links open kom ik op andere getallen uit.
Quadradial
@vali20 juli 2017 11:28
44k + 26k + 82k = 152k
vali
@Quadradial20 juli 2017 14:07
Dat zie ik wel terugkomen, gaat er mij om dat het allemaal nog niet zeker is wat er plaats gevonden heeft. Gevolgen is dat er gisternacht 1 grote paniek was en er maar vanalles op Twitter gespamt werd.

Wie zegt dat deze "white hackers" niet deel hebben weggesluisd? Er wordt nu maar een aannamen gedaan.

[Reactie gewijzigd door vali op 20 juli 2017 14:10]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee