# Saqueo de Fox: la historia del sabotaje en ShapeShift ## Esta es la historia de cómo se traicionó ShapeShift. No una, ni dos, sino tres veces en menos de un mes. En total, ladrones internos y externos robaron casi doscientos mil dólares en criptomonedas, sin mencionar los importantes recursos gastados a su paso. Sin embargo, los fondos de los clientes nunca se perdieron o estuvieron en riesgo, un hito para una industria plagada de tragedias pasadas. ShapeShift se ha adaptado y reconstruido, humillado por la experiencia aprendida y cada vez más resuelto en su misión de intercambio de activos seguro y sin fricciones. En el espíritu de apertura de Bitcoin, queríamos compartir esta historia con la comunidad; Que esté informado, entretenido, reflexivo y siempre diligente en sus propios asuntos. --- - [color=#bed] *Este artículo / documento / publicación / contenido fue publicado originalmente el 19 de abril de 2016 por Erik Voorhees y podría ser modificado ligeramente para su traducción por el flujo de trabajo de Información y Globalización de ShapeShift para un proyecto de archivo en curso.* --- > Nota: se han cambiado algunos nombres y detalles confidenciales --- ### La historia de fondo Desde su creación en la primavera de 2014, ShapeShift ha sido una criatura en evolución. Lo que comenzó como una forma experimental rápida de intercambiar entre Bitcoin y Litecoin se convirtió en un motor avanzado para el intercambio sin esfuerzo de todos los principales activos de blockchain, uno por otro, sin fricciones del usuario. Sin cuentas de usuario. Sin proceso de registro. Es el Traductor de Google de criptomonedas. Y siempre nos hemos puesto al día. Tratar de construir a la velocidad de esta industria, no solo a lo largo de la vertical de Bitcoin, sino a lo largo de toda la criptografía, es un desafío. El otoño pasado, nos dimos cuenta de que la arquitectura de servidor de “producto mínimo viable” establecida originalmente para ShapeShift era insuficiente. Necesitábamos un profesional para unirse al pequeño equipo y crear un aparato de servidor escalable y seguro en el que nuestra tecnología pudiera crecer. Contratamos a una persona así y nos dimos una palmada en la espalda por nuestra decisión proactiva. Sobre el papel, se veía genial; la referencia que llamamos confirmó su rol y responsabilidad anteriores. Incluso había estado en Bitcoin desde 2011/2012 y había construido mineros en su habitación. Impresionante. Llamaremos a este nuevo empleado Bob … de hecho, su nombre real comienza con una B. Durante los meses siguientes, Bob construyó y administró la infraestructura de ShapeShift. Lo hizo bien, nada especial, pero estábamos contentos de tener un profesional que se ocupara de DevOps al menos lo suficientemente bien como para permitir que nuestros ingenieros construyeran sobre la arquitectura. En el primer trimestre de este año, cuando el mercado descubrió lo que ya sabíamos - que nuestro mundo estará conformado por muchos activos de blockchain, cada uno de los cuales necesitará liquidez con el otro- los volúmenes de intercambio aumentaron en ShapeShift. Ethereum estaba en aumento, específicamente. Nuestra infraestructura no estaba preparada para el ritmo de crecimiento. Era como andar en bicicleta en la que los motores a reacción aparecen repentinamente en toda su potencia. Desafortunadamente, Bob hizo poco para ayudar. Se movió sin rumbo fijo mientras el equipo trabajaba largas horas para mantener el barco unido. Téngase en cuenta que, en realidad, Bob no estaba sin rumbo. Se estaba preparando para robarnos. La Génesis de la traición En la mañana del 14 de marzo, en medio de una de nuestras semanas de mayor volumen, recibí una llamada de nuestro Jefe de Operaciones, Greg. “Erik, a nuestra billetera caliente le faltan 315 Bitcoin”. ¿Por qué teníamos tanto en una billetera caliente, preguntas? Bueno, con los volúmenes en aumento, nuestra billetera caliente se agotaría a través del negocio normal en una hora a ese nivel, lo que luego requería un reequilibrio manual constante. ¿Hay formas de automatizar y reducir ese riesgo? Absolutamente … pero la retrospectiva de las prioridades de desarrollo de uno siempre es 20/20. ### Entonces 315 Bitcoin se había ido. Para aquellos que han experimentado tales incidentes, el sentimiento de enfermedad es profundo. Es un estado profundo y lúgubre, que no se detiene al borde de la pérdida financiera, sino que penetra hasta la médula. Cuando los sistemas son violados, los sistemas que uno ha diseñado, cuidado profundo y obsesivamente, esa violación de lo que uno considera seguro y protegido es muy, muy incómodo. Y luego está la pérdida en sí. 315 Bitcoin … aproximadamente $ 130,000. Eso es matrícula universitaria, parte de una casa, comida durante diez años … un par de meses de nómina. Es mucho dinero para una startup sin fines de lucro. Corrí a la oficina, esperando que hubiera algún error. El único pensamiento reconfortante fue que la pérdida fue solo nuestro propio dinero. Sin cuentas de clientes, ni los fondos de los clientes ni la información personal estaban en riesgo por el ataque. Eso fue por diseño desde el comienzo de ShapeShift; uno de nuestros principios. Pero incluso si nadie cerca resulta herido, un puñetazo en la cara todavía duele como el infierno. Greg, uestros dos ingenieros principales y yo revisamos registros y servidores, tratando desesperadamente de averiguar qué había sucedido. Los 315 BTC fueron a una dirección de Bitcoin desconocida y estaban sentados allí. De hecho, todavía se quedan ahí:https://blockchain.info/address/1LchKFYxkugq3EPMoJJp5cvUyTyPMu1qBR A pesar de nuestra nota urgente para que todos los empleados vengan a la oficina, Bob, nuestro jefe de IT, el responsable de seguridad e infraestructura, llega a las 11:30 am. Le pedimos a Bob que se una a nuestra discusión. Le revelamos el truco. Le preguntamos si había iniciado sesión esa mañana, a lo que respondió que no (en varias ocasiones). Sobre la noticia del robo, no parece particularmente sorprendido ni indignado, pero fue su seguridad lo que nos falló. Inmediatamente, comienza a señalar las explicaciones de la pista falsa: “Debe ser uno de los intercambios que fueron pirateados, eso sucede todo el tiempo”. Umm, nuestras cuentas de cambio están bien, Bob. “Bueno, mira la dirección IP, sucedió en algún lugar de África occidental”. Umm, las direcciones IP en los exploradores de bloques indican solo el primer nodo que notó una transacción, y generalmente no tienen sentido en el contexto de Bitcoin, Bob. (¿Qué tipo de Bitcoiner no lo sabe?) Muy rápidamente, nos damos cuenta de que es bastante inútil. Aquí tenemos a nuestro “chico del servidor” y no tiene comentarios inteligentes sobre un ataque a su propia infraestructura. Sin embargo, mientras revisábamos los registros, notamos un par de claves SSH (pertenecientes a Bob) que habían iniciado sesión en el servidor violado esa mañana una hora antes de la transacción no autorizada, y luego se habían desconectado dos minutos después. No es nefasto, necesariamente, porque de hecho se esperaría que las llaves de Bob se conectaran periódicamente, aunque el momento era extraño (las 6 de la mañana). También descubrimos que la violación se produjo a través de la VPN, lo que significa que alguien en la oficina, o alguien con acceso a nuestra VPN, cometió el robo. Pedimos a todas las personas con acceso al servidor que proporcionen las huellas digitales de sus claves SSH para que podamos comenzar a compararlas con los registros. Todo el mundo lo hace, pero otra cosa extraña: la huella digital de la llave entregada por Bob no aparece en ningún registro. Parece nuevo. Es extraño que la clave del administrador del servidor nunca se haya visto en ningún servidor … Poco después, Bob decide que es hora de su hora de almuerzo y no lo vemos durante una hora, durante el peor incidente en la historia de ShapeShift. Francamente, no nos importó mucho, él no ayudó y las sospechas comenzaron a surgir. Nos dice a todos que está dejando su computadora portátil abierta para descargar algunos registros, y se asegura de que veamos que la computadora portátil está abierta. Está siendo un poco raro. A su regreso, una hora después, está sentado con otros ingenieros que aún investigan lo ocurrido. Estoy en la otra habitación en una llamada. Cuando termino mi llamada, vengo a verificar el progreso. Bob parece recibir una llamada “de su madre que necesita ir al hospital”. Empaca sus cosas, agarra a su perro que estaba en la oficina y sale. Todos estamos mitad aliviados por su partida y mitad asombrados … ¿nuestro administrador del servidor realmente se fue por segunda vez durante nuestra investigación, que debería estar liderando? Él dice: “Regresaré en una hora”. Esto fue alrededor de las 3 pm del 14 de marzo. Nunca lo volvimos a ver Poco después de irse, uno de nuestros ingenieros nos lleva a un lado a Greg ya mí, y dice: "Mientras estabas en tu llamada, estábamos todos sentados alrededor de la mesa y vimos en los registros que Bob borró dos claves SSH mientras estaba sentado allí con nosotros, luego hizo grep’d varias veces para ellos[un comando del servidor para encontrar texto específico], y luego se fue. Esas dos claves coincidían con las dos claves que vimos en el registro esta mañana que accedió al servidor de Bitcoin justo antes del pirateo ". ¿Acaba de borrar sus claves del servidor? Bueno, joder. Las armas no se vuelven más humeantes que eso. Todos pasamos inmediatamente a la suposición de que Bob robó los fondos. Él está fuera del edificio, así que empezamos a cerrar todo. Todas las llaves se cambian apresuradamente (bueno, casi todas). Trabajamos unas horas más, sin noticias de Bob. Sin llamadas, sin mensajes de texto, nada. Al final del día, habían pasado 3-4 horas desde que se fue para “llevar a su madre al hospital”. Decidimos llamarlo, sin dejar salir nuestras sospechas por el momento. > “**Oye Bob, ¿dónde estás?**.” > > “**Oh oye, solo decidí irme a casa**.” > > “¿**Estas en casa**?” > > “**Sí, solo aquí, trabajando en algunas cosas**.” WTF? Esa llamada es inocua, pero la grabamos. También grabamos el siguiente 30 minutos después, en el que lo confrontamos con algunas de las pruebas. “Entonces, Bob, parece que eliminaste tus claves SSH y nos diste una nueva clave que nunca había accedido a ningún servidor”. “Sí, bueno, los borré porque no pensé que fueran importantes”. Sí, en realidad dijo eso. Nuestro administrador del servidor, en medio de una investigación sobre un robo de $ 130,000, elimina sus dos claves, y solo estas dos claves, sin decírselo a nadie, y luego admite en nuestra llamada que lo hizo porque “no eran importantes”. Da la casualidad de que esas dos claves fueron las exactas que se registraron en el servidor de Bitcoin esa mañana, y que se desconectaron dos minutos después de la transacción de robo. ¡No es importante en verdad! No da ninguna explicación de su comportamiento o acciones ese día, pero baila en torno a preguntas e insinúa, sutilmente al principio, y luego más explícitamente, que estamos siendo racistas. “Umm, Bob, estamos apuntando a ti porque tus claves estaban en el servidor, las borraste y te fuiste, durante una investigación activa”. Continúa así durante 45 minutos. Dice otras cosas ridículas, todas grabadas. Descubrimos más detalles de la evidencia, y hay una sensación de alivio después de saber exactamente qué sucedió y quién fue el responsable. Pasamos el resto de la noche documentando todo y preparándonos para presentar cargos civiles y penales contra Bob. Le doy una última oportunidad esa noche para la redención. En un mensaje a todos los empleados, para no obligarlo a implicarse respondiendo, > **Esta es su oportunidad de alejarse, aprender una lección y dejar que esto se cierre. No emprenderemos acciones legales si se encuentran 315 Bitcoin en esta dirección antes de las 10 a. M. No se harán más preguntas y podemos separarnos amigablemente. Envíe 315 BTC aquí: 35JBgzjyCUPswjRP9iqrUTkkX76QwrKkB9 -Erik** Recibo un mensaje de respuesta de Bob a las 4:36 am, “No eliminé ninguna clave y con regularidad inicio sesión en los servidores para verificarlas”. Correcto, excepto que ya lo tenemos registrado diciendo que eliminó las claves y que no había iniciado sesión esa mañana. Su ineptitud para mentir parece superada solo por su incompetencia en la administración de servidores. Prosigue, con un encantador destello adolescente > **“Por supuesto, culparme es lo racista que se puede hacer … básicamente estabas buscando una excusa para satisfacer tu racismo. No tengo antecedentes penales a diferencia de ti con la SEC.”** La mañana siguiente, nuestro abogado general escribe una carta formal (por correo electrónico y postal) a Bob, describiendo algunas de las pruebas que conocíamos y exigiendo que se devuelva la propiedad robada. También notificó a Bob que su empleo fue terminado (creo que fue justo, considerando). En respuesta, Bob le envía un correo electrónico al abogado, sin abordar ninguna evidencia en absoluto, “Sus clientes son racistas, así que asegúrese de saber con quién está tratando”. Es como si estuviera usando su sombrero de troll de Internet en la vida real. ¿Ni siquiera comprendió la gravedad de la situación? Bueno … lo absurdo recién estaba comenzando. Durante los próximos días, presentamos la denuncia civil formal. La dirección que Bob nos había dado era un apartado de correos, aunque teníamos su nombre legal, su información bancaria y su número de servidumbre social. Contratamos a un investigador privado. Encontramos su apartamento en un par de días. Varios intentos de servicio fracasaron, aunque el investigador escuchó a un perro ladrar detrás de la puerta. Se encontró uno de sus autos; conduce dos coches patrulla de la policía retirados sin distintivos. Tengo inversionistas a los que les debo un nivel de diligencia de protocolo, por lo que también hicimos arreglos para un caso criminal, y aquí el robo constituye un delito grave de clase 3, con 4-12 años de prisión. Honestamente, no me importa si lo castigan. Me importa si estamos completos y si él se da cuenta de su error y cambia su vida para convertirse en una mejor persona. Aún no hay señales de eso. Aprendemos algunas cosas más. Bob tiene antecedentes policiales en Florida, de donde es. Por cierto, los registros indican que es blanco, después de todo. Con los casos civiles y penales en su contra, y con el descubrimiento de que Bob huyó a Florida (dejando a su perro al cuidado temporal de su vecino … que ahora se pregunta dónde está y no ha sabido nada de él en semanas), pensó que el caso estaba básicamente cerrado. Lo llevaríamos a alguna parte, tarde o temprano. Y, con suerte, obtendríamos la devolución de nuestra propiedad robada, o el equivalente fiduciario. ### Rovion --- Habíamos trabajado para construir una nueva infraestructura de servidor a raíz de Bob, asumiendo que su trabajo en nuestro sistema se vería comprometido en gran medida. Creamos una nueva arquitectura en la nube con una empresa a la que llamaremos CloudCo. Ahora es la semana del 4 de abril y estábamos listos para poner en marcha esta nueva infraestructura en la nube. Entonces se desata el infierno. De nuevo. El jueves 7 de abril, alrededor del mediodía, notamos que un montón de Ethereum había dejado la billetera caliente en la nueva infraestructura en CloudCo. La NUEVA infraestructura. La infraestructura que ni siquiera era pública todavía. Al principio, creímos que nuestro código había hecho algo extraño, tal vez transferir fondos a una dirección de servidor de desarrollo o similar. Luego notamos que también faltaba un montón de Bitcoin. Y luego Litecoin también. **Dirección de Bitcoin del ladrón: 14Kt9i5MdQCKvjX6HS2hEevVgbPhK13SKD** **Dirección de Ethereum del ladrón: 0xC26B321d50910f2f990EF92A8Effd8EC38aDE8f5** **Dirección de Litecoin del ladrón: LL9jqgXVqxUbWbWVaJocBcF9Vm8uS3NaTd** Y muy rápidamente la realidad te golpea, y así es como se siente el flashback. La horrible sensación de hundimiento se instala de inmediato, una vez más. ¿Qué diablos pasó? Las claves que ni siquiera estaban en servidores públicos conocidos se habían visto comprometidas, de alguna manera. Cerramos el sistema, incluido nuestro sitio de producción en vivo, mientras investigábamos. No perdimos tanto como el truco del mes anterior, porque mantendríamos las billeteras algo conservadoras, pero aún así fue bastante. No podíamos creerlo. ¿Cómo se podrían comprometer las claves nuevas, generadas con una infraestructura completamente nueva? Después de varias horas de investigación infructuosa, decidimos que una de las explicaciones más probables es que la propia empresa de la nube estaba comprometida. Esto ha sucedido antes en Bitcoinland. Pensamos que CloudCo tenía buena reputación, pero ¿quién sabe? Las nubes son muy convenientes y escalables, pero en cierto nivel confía su infraestructura a esa empresa. Decidimos que teníamos que mantener el sitio fuera de servicio durante al menos 24 horas, y ponernos de rodillas para preparar, una vez más, una infraestructura completamente nueva en un conjunto de servidores completamente nuevo. Lo que fue casi tan malo como el dinero perdido fue no saber cómo sucedió. Los registros no se hicieron tan bien como deberían, por lo que resultaron infructuosos. De hecho, habían sido borrados. A pesar de eso, observamos las cadenas de bloques en busca de fondos pirateados. Rastreamos algunos a una cuenta de intercambio. Obtuvimos información de perfil del depositante. Nombre: Rovion Vavilov Email: rovion.vavilov@riseup.net Dirección: Chayanova St. 15, Moscow Fecha de Nacimiento: Feb 2, 1980 Teléfono: +7 9625148445 Esa información de perfil probablemente era falsa, pero le envié un correo electrónico esa noche. De: Erik Voorhees erik@shapeshift.io A: rovion.vavilov@riseup.net Asunto: ShapeShift Hack… “Buen trabajo en el HACK. Cómo lo hiciste? -Erik” Consejo profesional: a los sombreros negros les gusta ser reconocidos por su habilidad, independientemente de cuán inmorales puedan ser sus actos. Habla con ellos con calma, como adultos. Pueden revelar información o ayudar de alguna manera. Es extraño, pero sucede. En cualquier caso, no esperaba que saliera nada de mi correo electrónico. El resto de esa noche, y hasta el día siguiente (viernes 8), el equipo trabajó febrilmente para reconstruir todo en una nueva infraestructura, una vez más, en un entorno completamente limpio en un host completamente separado. Ahora, para muchos, ShapeShift parece ser un simple servicio web. Nuestros ingenieros han trabajado mucho para mantener esa apariencia. Detrás de escena, la plataforma es compleja. Más de 1.400 pares de negociación de activos directos, integraciones con media docena de API de intercambio que requieren información de precios en tiempo real sobre todas las criptomonedas ofrecidas, API de servicio de baja latencia para varias docenas de socios, el seguimiento y cálculo de tipos de cambio en constante cambio y la profundidad de la cartera de pedidos en algunos de los mercados más volátiles de la Tierra, y la incorporación de lo que solo puede describirse como software de nivel alfa en varios estados de desorden (demonios de monedas … bleh). Y en Bitcoinland, de hecho, y no hay guía. Es cierto que, como no soy ingeniero, solo ocasionalmente puedo vislumbrar la magnificencia de lo que estamos construyendo. Ojalá pudiera tomar el crédito. Para nuestro equipo que lee esto, usted ha diseñado una máquina increíble y debería estar muy orgulloso de ella. Y ahora aquí es donde la historia se profundiza Alrededor del mediodía del viernes, el pirata informático responde a mi correo electrónico (recuerde que le había preguntado cómo lo hizo …) De: rovion.vavilov@fastmail.com (Notése nuevo dominio) A: Erik Voorhees erik@shapeshift.io Asunto: ShapeShift Hack… “Una palabra: Bob” Esa fue la totalidad de ese primer correo electrónico, pero nos quedamos atónitos. Por un momento, pensamos: “¿Bob es el hacker?” Rápidamente, esa noción dio paso a la respuesta más probable: que Bob vendió o entregó nuestra información a un pirata informático, que luego la explotó. Bob nos traicionó. Traicionó su posición privilegiada, beneficiándose directamente de la destrucción de quienes confiaban en él. Robó, mintió, se escapó y luego, después de que se le concedió un período de tiempo suficiente para reflexionar sobre sus acciones, decidió traicionarnos de nuevo por unas cuantas sobras más en su patético tazón. Los piratas informáticos van a piratear, pero se necesita cierta variedad de bastardos para ascender a un puesto de confianza, trabajar cara a cara con un equipo, recibir un salario y la confianza de ese equipo y luego joderlos a todos por apenas el dinero suficiente para comprar un Tesla. Ah, sí, y luego abandonar a un perro para que se muera de hambre solo, probablemente pronto será sacrificado por los servicios de animales. Tenga cuidado con estas personas en sus vidas. Si sospecha de ellos, corte los lazos rápidamente. De todos modos, después de esfuerzos hercúleos, teníamos todo listo el viernes por la noche, 24 horas después. Lanzamos el sitio en un nuevo proveedor, al que llamaremos HostCo. A pesar de un par de errores, el sistema estaba funcionando. Le habíamos contado al público sobre el hackeo y decidimos publicar más detalles una vez que estudiamos el entorno comprometido con más detalle más adelante. Los pedidos de cambio se iniciaron de inmediato. Dimos un suspiro de alivio. Me quedé dormido alrededor de la 1 de la madrugada y dormí tranquilamente, exhausto por la terrible experiencia y muy orgulloso del equipo. Luego fue el sábado a las 9 a. M. Y empiezo a salir del letargo. Suena mi teléfono. Fue Greg. “Fuimos hackeados de nuevo. Bitcoin y Ethereum sacados de las carteras calientes de HostCo.” Estoy en silencio en el teléfono. Solo estoy pensando: "¿Es este el maldito apocalipsis!?” No parecía posible. El hackeo dos días antes no parecía posible, y esto ahora era inmensamente confuso y deprimente. Le digo a Greg que vuelva a cerrar el sitio y le devolveré la llamada en 30 minutos. ¿Cómo diablos vamos a explicar esto a la comunidad, a nuestros clientes … a nuestros inversores? ¿Cómo nos lo explicamos a nosotros mismos? Me levanto de la cama, sin entrar en pánico, sino sintiéndome completamente derrotado. Tomo la peor ducha de mi vida. La ira me rodea … sabíamos que Bob estaba involucrado por el correo electrónico del pirata informático, y sabíamos que Bob cometió un delito grave de Clase 3 en nuestra contra, que las autoridades sabían hace unas tres semanas, y nuestro investigador privado había proporcionado toda la información necesaria para una condena inmediata. Y ahora pasa esto. Mientras reúno mis pensamientos, decido que es hora de llamar a algunos recursos profesionales. Michael Perklin, jefe de seguridad y servicios de investigación en Ledger Labs, y presidente del comité directivo de la junta de CCSS, es el primero en mi lista. Está en Toronto y acepta volar para reunirse con nosotros esa noche. Iba de camino al hospital; se rompió un dedo del pie en un evento que preferiría no discutir. Cambia de rumbo y se dirige al aeropuerto. ¡Qué campeón! También sigo conversando con los jefes de varios intercambios líderes. A ninguno de ellos le gustan los ladrones y están ansiosos por ayudar. A pesar de su ritmo frenético y la diversidad de opiniones e intereses, esta industria se une cuando lo necesita. Se recuperaron 1500 ETH y los intercambios están buscando más. El ladrón probablemente esté molesto por esto … apesta ser robado, después de todo. ### Charlas junto a la chimenea con el ladrón --- Paralelamente a todo eso, escucho de nuevo del ladrón por correo electrónico. Respondí a su mensaje “Una palabra: Bob” preguntándole si me proporcionaría más información. Él menciona que por un precio, puede. “Hola”, dice. Hago arreglos para pagarle 2 BTC por información. “Necesito saber cuál es tu relación con Bob”, le pregunto. Traté de evitar adelantarme a los detalles. Él responde: “Recibí información de que Bob te “ pirateó ” mientras yo también trataba de piratearte. Tuve algún acceso antes de que Bob te pirateara, pero no lo suficiente para conseguir las monedas yo mismo ". “¿Qué sabes sobre Bob hackeándonos?” Pregunto “Trabajo interno. 315 BTC ". el responde. “Hablé con Bob después de que tomó las monedas y le pregunté cómo podía hackearlo también. Me dio más información sobre la infraestructura y algunas claves ". Le pregunto: “¿Por qué te daría información y qué te dio?” Rovion responde: “Porque ofrecí BTC. Direcciones IP, roles de servidor, usuarios, una clave SSH en funcionamiento. Ya no funciona ". Seguimos charlando y revela el correo electrónico de Bob con el que se comunicó: m0money@gmail.com. Si bien no había visto ese correo electrónico antes, me parecía familiar. Pensé por un tiempo, y luego me di cuenta de que Bob a menudo sustituía 0 por o, incluso en una de las dos claves que había eliminado del servidor (la clave específica se llamaba algo que, si se mostraba, revelaría el nombre real de Bob). Eso y el hecho de que una de las variaciones habituales de la contraseña de Bob era “m0m0ney”. Nuestro tipo de seguridad usó l33tspeak para sus contraseñas. Realmente seguro. Tan claro como había sido que Bob había robado nuestros fondos unas semanas antes, ahora estaba claro que este hacker, Rovion, nos estaba dando información relacionada con Bob que solo Bob o aquellos con quienes realmente había interactuado sabrían. Otro pensamiento, ¿podría este pirata informático haber incriminado a Bob desde el principio? Seguro, tal vez, pero cada acción de Bob el 14 de marzo se aleja de esa explicación, específicamente Bob borrando sus propias llaves justo debajo de nuestras narices y luego saliendo de la oficina, para nunca regresar. Otra evidencia que no se enumera aquí contradice aún más esa teoría. Volviendo a la charla con Rovion … le pregunto qué “clave SSH funcional” había obtenido. “No es de tu incumbencia”, responde, “pero me dijo que lo obtuvo de la computadora portátil abierta de un compañero de trabajo”. Guau. Si es cierto, eso significa que Bob, mientras trabajaba en ShapeShift, accedió a la computadora de un compañero de trabajo y copió una clave (¿o más?), En algún momento antes de robar los fondos. ¿Premeditó todo el asunto, me pregunto? Intento obtener más información, pero Rovion no se comunica. Su último mensaje … > **“Tus millones te salvarán, Erik Voorhees. Adiós, estaré en el correo electrónico ".** A primera hora de la tarde, había llegado nuestro investigador forense, Michael Perklin. Lo recogí del aeropuerto. Habíamos decidido dejar de hurgar en nuestros servidores hasta que él estuviera allí. Si bien el pirata informático dio una vaga idea de cómo llegó a la información secreta, realmente no conocíamos los detalles de la violación. Las claves se cambiaron después de la partida de Bob, y aunque encontramos una clave que no nos habíamos acordado de cambiar, solo tenía acceso a un servidor que no podía haber robado los fondos el jueves anterior. Y de nuevo, no explicaría en absoluto cómo ocurrió el robo del sábado por la mañana. Tanto CloudCo como HostCo sufrieron el robo de fondos, a pesar de que se construyeron como entornos completamente nuevos con claves completamente nuevas. Michael me pidió que le transmitiera toda la historia del mes pasado. Continuó con su protocolo de investigación, que incluía la suposición de que nadie en la empresa era digno de confianza. Era difícil argumentar que el equipo era confiable, dado que todo comenzó con un empleado deshonesto. Fue un sentimiento deprimente. Se podrían agregar aquí muchos detalles interesantes sobre cómo se realiza dicho trabajo forense, pero el espacio es limitado y probablemente no sea prudente revelar todos estos métodos. Después de un tiempo, nos sumergimos en los troncos, atacando primero los troncos del sábado. Fueron borrados, la mayoría de ellos. ¿Cómo fueron borrados? No estábamos seguros. Ahora sabemos cómo prevenir eso … de hecho, la experiencia que hemos recibido a lo largo de este incidente ha sido inmensamente valiosa. Aunque suene a cliché, si su startup está involucrada en la seguridad de información o servidores, hágase un favor y solicite ayuda profesional de terceros muy pronto. Al principio no lo necesitábamos, porque éramos pequeños. Pero el crecimiento se acelera y, antes de que se dé cuenta, está asegurando activos importantes con métodos deficientes. Si bien muchos de los registros habían desaparecido, de hecho recuperamos una gran parte del espacio en disco “vacío” mediante técnicas forenses. Fue una suerte. Quizás el Fantasma de Satoshi nos estaba cuidando (¡podría haber usado su ayuda hace una semana, por supuesto!) A partir de los datos recuperados, descubrimos el malware, si ese es el término correcto. Había un programa, escrito en Go, instalado en un servidor crucial que se comunicaba con monedas. Se cambiaron las fechas de este programa para que pareciera coherente con la configuración del servidor, y se hizo que su nombre de archivo pareciera inofensivo. Pero fue la herramienta directa mediante la cual se robaron los fondos. udevd-bridge fue llamado. Nos alegramos de encontrarlo (y sí, apareció lo mismo en ambos entornos de servidor, CloudCo y HostCo). Sin embargo, todavía no explica cómo se colocó allí. Teníamos mucha información, pero no toda la historia. Y no tendríamos la historia completa hasta dentro de un par de días más. Pero luego las estrellas se alinearon. De la nada, el hacker, Rovion, me envía un correo electrónico de nuevo el miércoles 13 de abril. De: Rovion Vavilov rovion.vavilov@fastmail.com Para: Erik Voorhees erik@shapeshift.io Asunto: Re: ShapeShift “¿Estaría interesado en comprar el ETH que actualmente retengo a una tasa con un gran descuento a cambio de BTC? Estaría dispuesto a comerciar en pequeñas cantidades, ya que no tiene motivos para confiar en mí.” Sí, parece que el pirata informático se ha molestado porque su Ethereum se congelaba en los intercambios. Así que vuelve a la tienda en la que robó y nos pregunta si cambiaremos por un activo más líquido. Básicamente, estaríamos comprando nuestro propio Ethereum y pagándole Bitcoin. Obviamente merece la pena, si podemos obtener más información. Como ninguno de los dos confía en el otro, establecemos un protocolo: 1. Pagamos 2 BTC para iniciar la conversación 2. Rovion nos da la mitad de la información relevante 3. Intercambiamos, en incrementos de 250, 2000 ETH por BTC a una tasa de 0.02 BTC / ETH 4. Rovion nos brinda la segunda mitad de la información relevante 5. Cambiamos, en los mismos incrementos, los 2500 ETH restantes por BTC a la misma tasa 6. Dejamos de comunicarnos (esta última fue sugerencia de Rovion) Nos pide que le enviemos el BTC a su dirección BTC ya conocida: 14Kt9i5MdQCKvjX6HS2hEevVgbPhK13SKD Después del pago inicial de 2 BTC, Rovion comienza con la descripción del truco del 7 de abril: > **“Nos contactamos con Bob. Nos dio el código fuente central de ShapeShift, la dirección IP del servidor central, una clave SSH y [redactado]. Inicié sesión en el servidor central con la clave SSH proporcionada, instalé una puerta trasera y tomé las monedas, ya que el servidor central tenía acceso SSH al servidor de monedas.”** “¿Cuál es la huella digital de la clave SSH mencionada anteriormente? " Pregunté **“9c:3f:4b:ad:d6:43:ec:9a:55de:b9:0b:d8:f5:0a:cb”** Vemos que es la clave de Greg, recién creada para el entorno de CloudCo. Ni siquiera existió hasta más de una semana después de que Bob robara los fondos en marzo y desapareciera. ¿Cómo diablos consiguió este hacker una nueva clave, post Bob? También pregunto por el “[redactado]” mencionado, pero Rovion dice que es parte del segundo lote de información. Procedemos con el intercambio incremental del segundo lote de fondos. Entonces Rovion dice: > “[redactado] fue el acceso a un RDP instalado en la máquina de un compañero de trabajo por Bob. Así es como te hackeé la segunda vez.” Vaya, ahora está empezando a juntarse, cada revelación quita una capa de la traición de Bob. Bob había instalado un RDP (protocolo de escritorio remoto - básicamente un visor o controlador de pantalla) en la computadora de Greg. Y quizás sobre otros, debemos asumir. Luego, Rovion comparte a través de pastebin un correo electrónico de Bob (la información que compró): > **“hola,** > > **Recibí tus 50 bitcoins. gh source y ssh priv key como archivos adjuntos”** > > **core ip: XX.XX.XX.XX** > > **enrutador para reenvío: XX.XX.XX.XX:XXXX** > > **admin:[password redactado]** > > **rdp internal ip: XX.XX.XX.XX** > > **acadmin:pass** > > **gracias por su negocio.** > > **[2 attachments listed]** (IP específico redactado por nosotros) Y ahí está. Bob vendió información sobre los servidores de producción, acceso a la red interna de ShapeShift, parte del código fuente de ShapeShift y acceso a un cliente RDP que había instalado en la computadora de un compañero de trabajo, a Rovion, por 50 Bitcoin. Se comprobó la información de IP y del enrutador interno. Esto explicaba casi todo. Con acceso a la computadora de Greg (y tal vez a otras), a través de RDP, los nuevos entornos de servidor podrían ser testigos y las nuevas claves SSH podrían usarse. No fue culpa del proveedor de servicios en la nube, fue nuestra. Habíamos cambiado casi todo, pero no habíamos eliminado las computadoras personales que usamos mientras Bob formaba parte del equipo. ¿Habría sido eso lo paranoico que podía hacer? Si. ¿Habría sido lo correcto? Claramente. Y una de las últimas cosas que dijo Rovion antes de terminar la discusión, > **"Aunque dije que cesen la comunicación, ¿pueden enviarme un correo electrónico cuando Bob sea demandado / lo que sea que vaya a hacer? Siento que es una mierda robarle a tu propio empleador ".** ### Limpiar un desastre --- Imaginamos que esta información ayudará a demostrar la intención delictiva por parte de Bob. Esta no fue una toma espontánea, sino una traición orquestada. He perdido la cuenta de la cantidad de delitos graves involucrados en este momento. También sabemos que, si bien la historia de Rovion se verifica, es posible que no sea la historia completa. Tenemos que asumir que otros detalles son relevantes para el caso y para nuestra infraestructura. Es por eso que ShapeShift ha estado fuera de línea durante más tiempo del que a cualquiera de nosotros le hubiera gustado. Estamos siendo muy cuidadosos y muy paranoicos. No obstante, he estado inmensamente orgulloso de mi equipo. Trabajar en una startup, en la industria de Bitcoin, es lo suficientemente estresante, y luego lidiar con una serie de traiciones en capas como esta y todo el daño (financiero, técnico, psicológico) que causa … eso es difícil. Ustedes han hecho un trabajo increíble y me siento inmensamente alentado al ver la cohesión y la fortaleza del equipo. No ayudó que acabáramos de contratar a cuatro nuevos empleados en la misma semana de los dos incidentes (casi duplicando nuestro personal de desarrollo). Fueron arrojados a la refriega sin piedad, y han sido increíbles. ### Ningún usuario de ShapeShift afectado --- Para sobrevivir en Bitcoin, hay que ser optimista. Si bien la traición, la pérdida y el esfuerzo de limpieza han sido terriblemente agotadores, hay algunos aspectos positivos. Primero, ninguna persona u organización es perfecta. Aprendimos algunas de nuestras propias vulnerabilidades y nuestros propios errores. Los estamos corrigiendo y mejorando en la medida de lo posible. Tal mejora no es barata, pero el ShapeShift de hoy es mejor que el ShapeShift de ayer. El acero está templado, la máquina refinada. Aunque ninguna organización puede lograrlo en última instancia, tratamos de abordar la lucha contra la fragilidad y ejemplificarlo como un ideal en nuestro trabajo. En segundo lugar, ningún cliente perdió dinero a través de múltiples hacks orquestados incluso por una persona con información privilegiada. A través de la descentralización, a través del código, a través de la innovación, a través de la estructura … la protección del consumidor desde el diseño es una de las contribuciones más importantes de esta industria a la sociedad, algo que un siglo de banca heredada no ha logrado, como lo señala la infame línea de Satoshi en el Genesis Block. ShapeShift siempre trabajará para desarrollarse sobre esta plataforma de protección al consumidor. Muchos otros en esta comunidad están haciendo lo mismo a lo largo de diferentes vías. Gracias por las herramientas que está construyendo y el trabajo que ha realizado. Y, de hecho, aún queda mucho por hacer. A nuestros clientes, me gustaría disculparme personalmente por nuestro tiempo de inactividad. Si bien podemos asegurarnos de que sus fondos no estén en riesgo, sé que muchos confían en nuestro servicio y no ha estado disponible. La redundancia, incluso ante un desastre, será uno de nuestros principales objetivos de desarrollo en el futuro. Además, agradezco sinceramente a los miembros de la comunidad que se acercaron y ofrecieron todo tipo de apoyo, y a nuestros inversores que fueron inmensamente amables y comprensivos. Y finalmente, como ocurre con todos los episodios intensos que uno soporta, debemos apreciar el espacio y la oportunidad de crecimiento, de experiencia y de uno de los lujos más preciados de la vida, la reflexión. Nunca es un día aburrido en Bitcoinland. > **Y para Bob … Tenga en cuenta que su nombre real y la información de identificación no fueron divulgados. Considere que una última y tenue cortesía.** **Erik Voorhees, CEO ShapeShift, Apr 19, 2016** Traducido por **jpanam** Flujo de Trabajo LATAM Labs de **ShapeShift DAO** ###### tags: `ES-Community Articles`