Според публикувана в четвъртък аутопсия борсата за криптовалути Crypto.com е загубила около 34 млн. долара при скорошен инцидент със сигурността.
Crypto.com, четвъртата по големина борса за криптовалути в бранша, най-накрая призна, че е загубила средства на потребителите поради неотдавнашен пробив в сигурността.
Според публикация в блога, публикувана в четвъртък, инцидентът е засегнал общо 483 потребители, което е довело до неразрешени тегления на обща стойност 4 836,26 Етериум, 443,93 Биткойн и приблизително 66 200 USD в други криптовалути, или около 33,84 млн. долара по текущи цени.
Базираната в Сингапур Crypto.com обяви, че спира тегленията, след като в понеделник „малък брой потребители са изпитали неоторизирана активност в сметките си“, като призова клиентите да възстановят двуфакторната си автентификация (2FA).
Компанията за сигурност Peckshield по-късно разкри, че в резултат на инцидента Crypto.com е загубила най-малко 4600 ETH (около 15 млн. долара) потребителски средства, като заяви пред Decrypt, че мащабът на щетите е „определено по-лош“.
Според Peckshield половината от откраднатите средства са били изпратени на Tornado Cash, услуга за смесване на криптовалути, която позволява на потребителите да замаскират своите транзакции.
Освен това блокчейн анализаторът ErgoBTC заяви, че хакерите са успели да се измъкнат с около 444 BTC, числото, което Crypto.com потвърди в днешната си постмортале.
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Въпреки множеството доказателства, Crypto.com първоначално отказа да признае хакерската атака, като главният изпълнителен директор на компанията Крис Маршалек заяви, че „не са загубени никакви средства на клиентите“.
Главният изпълнителен директор на Crypto.com: „Цифрите не са особено съществени „
Маршалек се появи в сряда в ефира на телевизия Bloomberg, като най-накрая потвърди, че около 400 клиентски сметки са били компрометирани.
Според него Crypto.com бързо е спрял тегленията, след като е установил, че „някои от защитните слоеве са били пробити“, отстранил е проблема и е бил „отново онлайн за около 13-14 часа“.
JUST IN: CEO @cryptocom’s Kris Marszalek discusses the site's recent hack with @BloombergTV’s @emilychangtv. "Customer funds were never at risk." #TheYearAhead pic.twitter.com/YlCtGO60t5
— Bloomberg Live (@BloombergLive) January 19, 2022
Той добави, че същия ден „всички засегнати сметки са били възстановени, така че не е имало загуба на средства на клиентите“.
Когато бе притиснат с въпроса за действителния размер на загубите, понесени от борсата, Маршалек заяви, че „предвид мащаба на бизнеса тези цифри не са особено съществени“.
Следственото разследване на компанията потвърди, че инцидентът със сигурността е възникнал поради проблеми с 2FA.
Crypto.com заяви, че също така е обновила и мигрирала към изцяло нова инфраструктура за 2FA, като токените за 2FA за всички потребители са били отнети, „за да се гарантира, че новата инфраструктура е в сила.“
We just published full incident report which a sums up what happened and how we addressed it. All 483 affected accounts were fully reimbursed, ie. no customer loss of funds.
We’re also launching US$250,000 Worldwide Account Protection Program covering funds held with us. https://t.co/8SHGaaoaCn
— Kris | Crypto.com (@Kris_HK) January 20, 2022
Обменът въведе допълнително ниво на сигурност, за да добави задължително 24-часово забавяне между регистрацията на нов адрес за теглене в белия списък и първото теглене на средства.
Според компанията това ще даде на потребителите „достатъчно време да реагират и да отговорят“ на известията, че са добавени нови адреси за теглене.
Crypto.com обяви и стартирането на Програмата за защита на сметките в световен мащаб (WAPP), която е „предназначена за защита на средствата на потребителите в случаите, когато трета страна получи неоторизиран достъп до тяхната сметка и изтегли средства без разрешението на потребителя“.
WAPP открива възможност за възстановяване на средства в размер до 250 000 USD. Все пак тя е свързана с няколко условия, за да се квалифицира, включително изискването да се включи многофакторна автентикация и да се създаде антифишинг код поне 21 дни преди докладваната неразрешена трансакция.
Потребителите ще трябва също така да подадат полицейски доклад и да попълнят въпросник, който да подпомогне съдебното разследване.
