Ny forklaring om det store danske bitcoin-røveri: DDoS-angreb var kun et røgslør

Illustration: leowolfert/Bigstock
Tyveriet af bitcoins for 5,5 millioner kroner fra BIPS skete gennem huller i løsningen, og ikke på grund af et voldsomt DDoS-angreb. Med hjælp fra genskabte serverlogs kan firmaet nu give en forklaring på, hvordan hackerne bar sig ad.

Den 17. november rettede ukendte gerningsmænd et mindre denial-of-service-angreb mod det lille firma BIPS. To dage senere vendte angrebet tilbage, men i meget større omfang. Og indimellem de to DDoS-angreb udnyttede hackere huller i systemet for BIPS’ online-tjeneste til at opbevare bitcoins, en såkaldt hosted wallet.

Sådan lyder forklaringen nu fra Kris Henriksen, manden bag BIPS’ online-wallet, efter at han har fået genskabt serverlogs og kigget nærmere på forløbet. Tidligere var hans melding, at DDoS-angrebet blev brugt til at slå hul på sikkerheden.

»Det var forkert meldt ud. Efter det første DDoS-angreb var hackerne inde og fandt et hul, og så slettede de alt, og maskerede det, de havde gjort, bagefter med det store DDoS-angreb, som ramte forbindelsen til SAN’et og fik serverne til at gå ned,« siger Kris Henriksen til Version2.

Læs også: Efter hackerangreb og milliontab: BIPS lukker bankboks-tjeneste

Læs også: Dansk bitcoin-handelsplads hacket - over 5,5 millioner kroner stjålet

Tjenesten var delt op i ’cold wallet’, hvor kundernes bitcoins var låst ned, og en ’hot wallet’, hvor de blev lagt over, når der skulle flyttes rundt på dem. Men på grund af en fejl i algoritmen, var hele beholdningen af bitcoins endt med at stå i ’hot wallet’-afdelingen.

»Med den succes, vi har haft, med alt det folk har købt og solgt, har algoritmen flyttet det hele over i hot wallet. Her fandt hackerne så et hul, som de kunne udnytte,« siger Kris Henriksen.

Det skete så, ifølge hans opklaringsarbejde, mens BIPS havde travlt med at reagere på det første, mindre DDoS-angreb og tage forholdsregler.

»Vi har jo ikke et helt datacenter til rådighed for BIPS. Det er begrænset, hvad vi har af forsvarsværker mod den slags,« siger han.

Forstår ikke beskyldninger om inside-job

Udmeldingen om hackerangrebet og tyveriet af bitcoins til 5,5 millioner kroner er mildt sagt blevet mødt med skepsis, blandt andet i debatten på Version2. Her beskylder flere Kris Henriksen for selv bare at rende med pengene.

»Jeg kan godt se, at folk ikke er vilde med det. Jeg skal have brækket mine ben og alt muligt. Det forstår jeg ikke. Det havde jeg ikke regnet med, når jeg har kørt en fin, gratis service,« siger Kris Henriksen om beskyldningerne.

Noget af kritikken mod Kris Henriksen har gået på, at han tidligere har lukket en tilsvarende tjeneste, uden rimelige muligheder for, at brugerne kunne få deres penge ud. Men den udlægning afviser han klart.

»Walletbit blev lukket, fordi der næsten ikke var nogen brugere. Jeg ville starte noget nyt op i stedet med BIPS. Og det passer ingen steder, at folk ikke fik deres penge tilbage. Der stod klart, at de kunne henvende sig pr. e-mail for at få deres penge tilbage, efter Walletbit lukkede, og det har de også gjort,« siger han.

Kun 4-5 kunder havde indtil angrebet midt i november stadig bitcoins stående fra en Walletbit-konto - men de penge er nu væk, sammen med resten af BIPS’ beholdning af bitcoins.

»Alt blev stjålet. Og jeg har selv mistet rigtig meget, og det har dem, jeg arbejdede sammen med, også,« siger Kris Henriksen.

Er der nogen måde, du kan bevise på, at du ikke selv har taget pengene? Er der noget dokumentation, du kan lægge frem for at stoppe beskyldningerne?

»Lige så snart, vi er færdige med vores analyse af serverlogs og har skrevet en anmeldelse til politiet, vil jeg hellere end gerne gøre den offentlig. Jeg ved ikke, hvad jeg ellers kan gøre. Folk må komme over og tale med mig - jeg gemmer mig ikke. Så må jeg regne med, at det er bevis nok for folk. Det kan lyde hoverende, men kan ikke se, hvad jeg ellers kan gøre,« siger Kris Henriksen.

Vil selv konvertere til danske kroner

Wallet-delen af BIPS bliver nu lukket ned, og Kris Henriksen forklarer, at det aldrig var lagt an på at være en sikker bankboks for store indskud.

»Vores tjeneste var ligesom en tegnebog baseret på, at du kunne smide en smule bitcoins deri, så det var nemt at betale med dem ude i byen. Det var ikke meningen, at den skulle bruges til hele deres opsparing,« siger han.

Hvad vil du råde folk til at gøre med deres bitcoins fremover?

»Folk må selv lave en risikovurdering, men hvis jeg nogensinde får nogle bitcoins igen, vil jeg konvertere en del af dem til danske kroner, og gemme resten i en wallet, hvor du selv ejer den private nøgle, for eksempel på telefonen,« siger Kris Henriksen.

Du siger, at du vil lukke wallet-tjenesten, men fortsætte med betalingsservice-forretningen i BIPS. Men der indgår jo også pengestrømme i den, der skal beskyttes mod hackere?

»Vi kan blive hacket igen, men der vil ikke være nogen bitcoins, vi holder, så hackerne vil ikke kunne stjæle noget. Og uanset hvad vil der blive sat mere fokus på sikkerhed. Vi vil få nogle udefra med certifikater ind og kigge på sikkerheden. Hvis vi har noget at betale dem med,« siger Kris Henriksen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Wolsing

Citat: "Er der nogen måde, du kan bevise på, at du ikke selv har taget pengene?"

Skal vi nu ikke lige stramme lidt op. Det er god skik her i landet, at man er uskyldig indtil det modsatte er bevist. Det kan og skal aldrig gøres til at krav at man selv skal bevise sin uskyld.

  • 17
  • 1
Alex R. Tomkiewicz

Tak for en bedre forklaring fra V2 og Hr. Henriksen.

"Vi har jo ikke et helt datacenter til rådighed for BIPS. Det er begrænset, hvad vi har af forsvarsværker mod den slags". Øhm. Der står (stadig) følgende i BIPS Terms of Service: "Data Center [-] All data is stored in a ESX data center that meets the highest safety requirements." Det kan man selvfølgelig læse på flere måder, men mon ikke de fleste vil læse det på den måde at systemet som kunderne deponerer penge i er sikkert? Konklusionen er nok snarere at det at håndtere penge og pengetransaktioner ikke er for hobbyfolk, køkkenbordsprogrammører og skotøjsæskebanker. Så snart der er pengeopbevaring vil man være mål for tyveri. Og Bitcoins er i deres natur et godt mål for tyveri.

Jeg mener ikke der var nogen der mente at Hr. Henriksen skulle have brækket sine ben. Men blandt andet jeg selv hentydede humoristisk til at eftersom kunderne er anonyme, så kan der potentielt være kunder ibandt som går med solbriller om natten og har specialsyede inderlommer. Og det kunne så være at nogle af disse ville have en venlig samtale om hændelsen og deres Bitcoins nye lokationer. Der er altså en grund til at banker og andre virksomheder som laver seriøse pengetransaktioner via IT har et stort forretningssystem til det - inklusive sikkerhedssystemer og sikkerhedseksperter.

Jeg håber V2 følger op på politianmeldelsen. Jeg vil gerne høre mere om juraen omkring Bitcoins og Henriksens bank. Det er interessant … nej nu begynder jeg altså at grine igen … :-)

  • 7
  • 0
Benjamin Krogh

Det er god skik her i landet, at man er uskyldig indtil det modsatte er bevist.

Enig. Spørgsmålet kan dog tolkes på flere mådes. Hvis Kris nu, eksempelvis pga. indbygget kryptosikkerhed i Bitcoins, kunne bevise at han er uskyldig, ville det da være meget informativt at få med og meget positivt for Kris. Kris påstår at være ekspert i sikkerhed med +15 års erfaring, så der skulle jo være god mulighed for at bevise hvem der har connected til hans server, hvornår, og hvad de har trukket ud. Set i det lys, synes jeg ikke der er noget galt i V2's spørgsmål.

Alt andet lige mener jeg stadig ikke at det er god stil at man, efter et indbrud med tab for 5,5 millioner kroner af andres værdier, siger følgende:

  1. Brugerne hæfter selv for alle tab (faktum gemt i maven på en TOS).
  2. Det ville være den perfekte forbydelse, hvis jeg selv havde tømt alle konti.
  3. Påstå man er ekspert i sikkerhed, men at ens firewall blev overbelastet og gav adgang til alt.
  4. Påstå at ens service er usikker by design efter indbruddet, mens ens websted postulerer sikkerhed i verdensklasse.

Det taler til gengæld for Kris' uskyldighed at han har håndteret PR så uheldigt som han har. :)

  • 7
  • 0
Jan Michael Due

"Røveri kan både være et impulsivt overfald eller et bankkup, som er blevet planlagt gennem flere år. Det afgørende er, at gerningsmanden truer eller bruger vold for at stjæle."

Jeg kunne godt tænke mig at vide, hvordan der skulle kunne være tale om røveri i det i artiklen nævnte tilfælde.

Måske evner jeg bare ikke at læse artiklen korrekt?

  • 1
  • 0
Johannes Aagaard

Uden på nogen måde at overvurdere politiets evner udi i opklaring af denne type kriminalitet, som BIPS mener at have været udsat for her, så undrer det mig ærligt talt, at anmeldelsen ikke er indgivet forlængst. Tillige eksellerer BIPS med at udbasunere hele historien i medierne ...

Jeg forstår heller ikke helt forklaringen angående WalletBit, for den platforms forretningsgrundlag forsvandt jo netop med BIPS.

  • 0
  • 0
Peter G. Madsen

Et klart faresignal ved online tjenester er hvis der ikke er en fast firmaadresse med kontaktoplysninger og cvr nummer. Desuden virker det ikke til at ”bips” er registreret som firma i Danmark, ligesom at navnet ”Kris Henriksen” ikke dukker op på hverken cvr.dk eller nn-markedsdata.

Lidt dybdeborende journalistik kunne måske kaste mere lys over sagen?
Mvh
Peter

  • 0
  • 2
Thomas Pedersen
  • 1
  • 1
Brian Mogensen

Kris manipulere og lyver. Han ændrede TOS for 2 måneder siden. Ingen bruger har fået noget af vide. Wallets var altid deres kerne område og de tjente masser af penge på at have høj kommision på køb/salg af BTC. ja, ok, man kunne have brugt andre services, men BIPS er et af de få danske steder. Så kan falder hurtigt for alt den salgsnak om deres top sikre servere, men sandheden er at det er drevet fra en køkkencompter et sted i brønshøj. og nu er alt tabt. Svindler.

  • 0
  • 0
Log ind eller Opret konto for at kommentere