Опечатки – не только неприятная оплошность. Иногда они могут иметь очень дорогие последствия. В прошлую пятницу цифровая валютная система Zcoin объявила, что типографская ошибка позволила неустановленному хакеру «заработать» около 680000 долларов.
Zcoin – криптовалюта, являющаяся конкурентом и аналогом Bitcoin, Она поддерживается криптографически и не привязана к какому-либо центральному банку. Она основана на программном протоколе Zerocoin, который был разработан с целью обеспечения «полной финансовой конфиденциальности и анонимности» пользователей.
Но в процессе функционирования Zcoin выявился один грубый промах. «Вчера наша команда обнаружила ошибку в реализации протокола Zerocoin», - написал в пятницу в своем блоге Ройбен Яп, менеджер сообщества Zcoin. «Опечатка в виде одного дополнительного символа в коде позволила взломщику создавать в Zerocoin расходные транзакции без соответствующей «чеканки» монет».
Другими словами, в коде была всего одна неправильная буква, и хакеру этого оказалось достаточно, чтобы воровать «монеты» путем многократного обналичивания денег одиночными транзакциями.
Ройбен Яп подчеркнул, что с шифрованием Zcoin все в порядке, а проблема возникла только из-за опечатки. «Такое злоупотребление стало возможным благодаря ошибке в коде, а не слабости самого шифрования. Ошибка, вызванная опечаткой, позволила хакеру многократно использовать правильное подтверждение для генерирования дополнительных расходных транзакций Zerocoin», - написал он.
Таким образом, как утверждается, в проекте Zcoin произошел именно сбой, вызванный человеческим фактором, а не критическая ошибка алгоритма.
Остающийся до настоящего времени неизвестным взломщик смог украсть примерно 370000 Zcoin, что по текущему обменному курсу составляет около 680000 долларов. Почти все эти средства уже перепроданы, что, по данным Zcoin, позволило злоумышленнику получить чистую прибыль в размере 437000 долларов. Ему в течение нескольких недель удавалось оставаться незамеченным за счет того, что оплаты и вывод средств производились небольшими суммами. «Судя по тому, что мы наблюдаем, хакер очень опытный. Наше расследование показывает, что он предпринял многочисленные меры для маскировки своих действий, создал много счетов для обмена и проявлял осторожность, равномерно распределяя депозиты и операции по выводу средств в течение нескольких недель», - написал Ройбен Яп.
«По нашим оценкам, злоумышленник создал примерно 370000 Zcoin, которые почти полностью, за исключением двадцати с небольшим тысяч «монет», были перепроданы и поглощены рынком. Другими словами, нанесенный ущерб уже большей частью поглощен рынком».