Vermeende “hack” maakt BitGrail insolvent
Op 9 februari werd de Italiaanse cryptocurrency-exchange BitGrail uitgebracht een openbare verklaring dat het failliet ging na een vermeende hack van 17 mln XRB (~ $ 170 mln). Volgens een Middelgrote post door het Nano-team waarschuwde Francesco Firano (ook bekend als de bommenwerper) het team de dag ervoor in een Telegram-chat. BitGrail heeft de handel voor XRB op dezelfde dag ook opgeschort.
XRB-markten zijn momenteel niet beschikbaar.
– BitGrail Exchange (@BitGrail) 8 februari 2018
In zowel de privéchat als de openbare verklaring beweert Firano / Bitgrail dat het geld is gestolen tijdens een hack. Op het moment van de pers is dit niet bevestigd, en bovendien is de gemeenschap niet overtuigd. Reddit heeft de onderzoeksmantel in de zaak overgenomen en er zijn een handvol theorieën opgedoken die de situatie verklaren en de inconsistenties in Firano’s verslag van de gebeurtenissen interpreteren. Maar laten we, voordat we in theorieën duiken, eens kijken naar wat we zeker weten en hoe we hier terecht zijn gekomen.
De situatie
Om 8:09 uur MT op 8 februari, Firano gecontacteerd Colin LaMahieu en Zack Shapiro van het Nano-team over een tijdstempelprobleem met Nano’s block explorer, een tool waarmee gebruikers transacties op de blockchain kunnen inspecteren. Nadat hij woorden had uitgewisseld met Shapiro, vroeg Firano of hij LaMahieu in die chat kon krijgen om het probleem op te lossen, waarbij hij beweerde dat ‘het urgent is’.
Firano gaat verder met te zeggen dat miljoenen XRB zijn gestolen uit Bitgrails vertegenwoordiger 1 koude portemonnee-reserve. Deze opnames werden niet goedgekeurd door de beurs en staan dus niet in de database, beweert Firano. Toch heeft de blokverkenner ze vermeld als zijnde op 19 januari, dus Firano vroeg het team of de tijdstempels op de blokverkenner kloppen..
LeMahieu reageert door te zeggen dat, aangezien het tijdstempel “slechts een lokale datum voor de ontdekkingsreiziger” is en niet het officiële grootboek van de blockchain, “het geen garantie is.” In een medium bericht update gepubliceerd op 11 februari, legt het Nano-team uit dat elke transactie een tijdstempel van 19 januari heeft omdat “elke transactie waarbij een datum ontbrak, werd bijgewerkt met de datum en tijd van [een server] -migratie” die plaatsvond op 19.
Volgens de chat beweert Firano dat 15 mln XRB werd gestolen uit de koude portemonnee van de beurs, terwijl de officiële verklaring van BitGrail het cijfer op 17 mln stelt. Het verschil tussen deze twee bedragen terzijde, beide zouden de beurs insolvent maken, aangezien Firano onthult dat het slechts 4 mln XRB in reserve heeft om verliezen te dekken..
Op dit punt in het gesprek dringt Shapiro aan bij Firano wanneer hij ontdekte dat het geld ontbrak. Firano beweert dat hij zich op de ochtend van 8 februari bewust werd van de verliezen, terwijl Zack erop wijst dat de duistere zaken ‘al maanden aan de gang waren’ volgens het grootboek van de blockchain..
Firano vraagt het Nano-team om met hem samen te werken om de situatie op te lossen, met de vraag of ze zouden overwegen om Nano te forceren om het verloren geld te herstellen. Ze zeggen nee, en na een dag met elkaar over de situatie te hebben gedebatteerd, laten ze Firano weten dat ze geen openbare verklaring met hem willen vrijgeven. Firano reageert door te zeggen dat hij de volgende versie van de gebeurtenissen zal vrijgeven:
“Vanwege een xrb-bug die ervoor zorgde dat het knooppunt crashte, dwongen de aanvallers het systeem tot dubbele betalingen waarvoor we geen spoor van tijd hebben vanwege een andere bug in de officiële xrb-verkenner.”
De volgende problemen werden echter niet besproken in het Telegram-gesprek en het Nano-team ontmaskert ze in hun 9 februari Medium bericht. Bovendien houdt BitGrail zich niet aan het verhaal in zijn officiële aankondiging, maar schrijft het zijn insolventie toe aan de vermeende hack.
Verder, in hun 11 februari BitGrail insolventie-update, het Nano-team bevestigt dat ~ 9mln XRB van 19-23 oktober uit BitGrail is gehaald. Een van deze transacties was voor maar liefst 1 mln XRB. De portemonnee die dit geld heeft ontvangen, is hetzelfde dat Firano oorspronkelijk citeerde in de Telegram-chat, en wat erger is, het Nano-team levert bewijsmateriaal dat BitGrail een tijdstempel van deze transactie had, iets dat Firano ontkent in het tekstgesprek.
Deze onthullingen lijken geloof te hechten aan de verklaring van het Nano-team in hun eerdere Medium-post:
“We hebben nu voldoende reden om aan te nemen dat Firano het Nano Core Team en de gemeenschap gedurende een aanzienlijke periode heeft misleid met betrekking tot de solvabiliteit van de BitGrail-beurs.”
De theorieën
In het weekend gonsde r / Cryptocurrency van mogelijke verklaringen en theorieën, terwijl gebruikers onvermoeibaar posten over hoe dit had kunnen gebeuren onder de neus van zowel investeerders als ontwikkelaars. De meeste (zo niet alle) berichten op Reddit ontkennen dat de insolventie het resultaat is van een hack.
Momenteel is de meest gangbare theorie is dat een paar accounts gebruik hebben gemaakt van een bug in het ontwerp van BitGrail die het rekeningsaldo van gestort geld verdubbelde (dat wil zeggen, als je 2 ETH had gestort, toonde de bug een rekeningsaldo op je uitwisselingsportefeuille van 4 ETH). Dit resulteerde in kunstmatige rekeningsaldi die in wezen valuta’s op de beurs sloegen met niets om ze te ondersteunen. De kwaadwillende actor (en) maakten dus gebruik van deze storing om de overtollige bedragen in te trekken, en gingen over tot arbitrage van de bedragen op andere beurzen (in een weinig voorbeelden, Mercatox), en herhaalde de verwerking door opnieuw te deponeren op BitGrail.
Ethereum wordt in het bovenstaande voorbeeld gebruikt omdat deze glitch meer invloed had dan alleen XRB. Volgens een Reddit-bericht, BitGrail-gebruikers gaven al drie maanden geleden aan dat hun rekeningen overtollige saldi bevatten. Als gebruikers deze bug misbruiken zolang deze berichten suggereren, betekent dit waarschijnlijk dat de fondsen van BitGrail al geruime tijd bloeden. Het zou ook kunnen betekenen dat de beurs in meer dan alleen XRB insolvent is.
Getuigenissen van negatieve rekeningsaldi die in januari opdoken, getuigen van deze mogelijkheden. In een chat op 4 januari in BitGrail’s Telegram klaagden gebruikers over negatieve rekeningsaldi in Ethereum en Nano, maar de Telegram werd de volgende dag voor het publiek gesloten. Firano erkende later het negatieve saldo in een 18 januari bericht aan de BitGrail-subreddit, om gebruikers te verzekeren dat deze “bug” was verholpen.
Dus de TLDR van deze theorie: Opportunisten maakten gebruik van een fout in het systeem van BitGrail om meer geld op te nemen dan ze hadden gestort en dit leidde tot negatieve rekeningsaldi voor andere gebruikers en de uiteindelijke insolventie van de XRB-fondsen van de beurs.
Afhaalrestaurants en vooruitgaan
Hoewel de meeste Reddit-berichten over de situatie stellen dat BitGrail insolvent is in meer dan alleen XRB, is dit nog niet bevestigd door enige bron of door het lopende onderzoek van Nano.
Er zijn ook theorieën / beschuldigingen die suggereren dat BitGrail / Firano tussen 17 en 19 januari geld tussen beurzen heeft verplaatst in een poging om de verliezen van de beurs terug te verdienen met de verdubbelde rekeningsaldi. Kortom, deze theorieën beweren dat BitGrail Mercatox en KuCoin heeft gebruikt om XRB te arbitreren in een poging om solvabel te worden na het verliezen van zoveel geld. Miljoenen XRB werden verplaatst tussen Bitgrail en Mercatox in een tijd dat opnames voor Nano op beide beurzen werden opgeschort. Op dit moment had BitGrail zojuist een KYC-beleid verplicht gesteld voor verificatie. Volgens de theorieën gaven dit en de opschortingen van de intrekking BitGrail de mogelijkheid om de prijs van XRB op hun eigen beurs te verlagen, goedkoop bij hun klanten te kopen en het op KuCoin en Mercatox in te wisselen voor een hogere prijs.
Een disclaimer over de bovenstaande veronderstelling: dit is een theorie van de gemeenschap in het algemeen, geen bewezen feit, en Coin Central onderschrijft het zeker niet als waarheid. Hetzelfde kan gezegd worden voor alle niet-bevestigde informatie in de sectie “The Theories” van dit artikel. Alles buiten het document op BitGrail’s telegram, de chat tussen Farino en het Nano-team en wat het Nano-team heeft bevestigd op hun Medium-berichten, is op dit moment niet bewezen. Dat gezegd hebbende, vinden we het belangrijk om de standpunten van de community op te nemen, aangezien dit een communityprobleem is dat veel van haar leden heeft getroffen.
Verder onthulde het Nano-team in hun Discord-chat dat het Mercatox-team ermee heeft ingestemd zich aan hen te houden in hun onderzoek. Als zodanig is er onvoldoende bewijs om te suggereren dat Mercatox medeplichtig is aan de overval. KuCoin en Binance hebben ook hun steun toegezegd om het Nano-team te helpen en om portefeuilles te bevriezen die interactie hebben gehad met het gestolen geld.
Toen Coin Central contact opnam met het Nano-team voor commentaar, verzekerden ze ons dat “alles [wat ze] weten openbaar is” en dat ze “proberen volledig transparant te zijn” met de verifieerbare informatie bij de hand. Naarmate dit verhaal vordert, zullen ze hun medium blijven updaten met ontwikkelingen, en we zullen het verhaal ook volgen om waardevolle updates over de situatie te posten.
