Хакеры ограбили анонимный рынок Silk Road 2 почти на $3 млн

Сайт Silk Road позволял купить за криптовалюту всё что угодно. Там и продавали «всё» (в том числе оружие, наркотики), за что создателя сайта задержали, а сайт закрыли. Но свято место пусто не бывает, и очень скоро появился другой анонимный сайт, Silk Road 2, который занимается тем же самым. И вот сегодня его скомпрометировали, ограбив на очень крупную сумму.

Хакеры воспользовались эксплойтом, благодаря которому SR2 потерял 4 474,26 биткойна (то есть $2 747 000). Переводы для сайта осуществлялись через сторонний сервис, который занимался переправкой средств от покупателей к продавцам. Хакеры воспользовались уязвимостью, которая позволяла делать множество запросов на одну и ту же сумму денег, таким образом опустошив целевой кошелёк.

Именно эта ошибка недавно заставила обменник криптовалют Mt. Gox прекратить передачу средств (в скором времени с помощью обновления ПО кошельки стали неуязвимы для такого рода атаки). Как пишет администрация Silk Road 2, злоумышленники использовали автоматическую систему подтверждения платежей сайта друг на друге, чтобы требовать возвращения средств за недоставленный товар, которого в реальности не было.

На SR2, вероятно, работала система возврата платежей за недоставленные посылки, которая полагалась на идентификатор TXID. По словам администраторов, шесть продавцов использовали уязвимость для того, чтобы заказывать товары друг у друга, а потом требовать возмещения убытков. Разумеется, в силу нелегальности деятельности Silk Road 2 обратиться за помощью к властям его владельцы не могут. Цена одного биткойна после этих известий упала на 50 пунктов.