Die Kryptowährungsbörse Crypto.com hat bei einem jüngsten Sicherheitsvorfall rund 34 Millionen Dollar verloren, wie aus einem am Donnerstag veröffentlichten Post-Mortem hervorgeht.
Crypto.com, die viertgrößte Kryptowährungsbörse der Branche, hat schließlich zugegeben, dass sie aufgrund einer kürzlich aufgetretenen Sicherheitsverletzung Benutzergelder verloren hat.
Laut einem am Donnerstag veröffentlichten Blogbeitrag betraf der Vorfall insgesamt 483 Benutzer, was zu nicht autorisierten Abhebungen von insgesamt 4.836,26 Ethereum, 443,93 Bitcoin und etwa 66.200 US-Dollar in anderen Kryptowährungen führte, was etwa 33,84 Millionen US-Dollar zu aktuellen Preisen entspricht.
Das in Singapur ansässige Unternehmen Crypto.com kündigte an, die Abhebungen zu pausieren, nachdem „eine kleine Anzahl von Nutzern unbefugte Aktivitäten auf ihren Konten“ am Montag festgestellt hatte, und forderte die Kunden auf, ihre Zwei-Faktor-Authentifizierung (2FA) zurückzusetzen.
Das Sicherheitsunternehmen Peckshield enthüllte später, dass der Vorfall dazu führte, dass Crypto.com mindestens 4.600 ETH (etwa 15 Millionen Dollar) an Nutzergeldern verlor, und sagte Decrypt, dass das Ausmaß des Schadens „definitiv schlimmer“ war.
Laut Peckshield wurde die Hälfte der gestohlenen Gelder an Tornado Cash geschickt, einen Krypto-Mischdienst, der es den Nutzern ermöglicht, ihre Transaktionen zu verschleiern.
Laut dem Blockchain-Analysten ErgoBTC gelang es den Hackern darüber hinaus, etwa 444 BTC zu erbeuten, eine Zahl, die Crypto.com in seinem heutigen Post-Mortem bestätigt.
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Trotz der vielen Beweise weigerte sich Crypto.com zunächst, den Hack anzuerkennen. Der CEO des Unternehmens, Kris Marszalek, behauptete, dass „keine Kundengelder verloren gingen“.
Crypto.com CEO: „Zahlen nicht besonders wichtig „
Marszalek trat am Mittwoch bei Bloomberg TV auf und bestätigte schließlich, dass rund 400 Kundenkonten kompromittiert worden waren.
Ihm zufolge hat Crypto.com die Abhebungen schnell pausiert, nachdem es festgestellt hatte, dass „einige der Verteidigungsschichten durchbrochen wurden“, das Problem behoben und war „innerhalb von 13 bis 14 Stunden wieder online “
JUST IN: CEO @cryptocom’s Kris Marszalek discusses the site's recent hack with @BloombergTV’s @emilychangtv. "Customer funds were never at risk." #TheYearAhead pic.twitter.com/YlCtGO60t5
— Bloomberg Live (@BloombergLive) January 19, 2022
Er fügte hinzu, dass noch am selben Tag „alle betroffenen Konten zurückerstattet wurden, es gab also keinen Verlust von Kundengeldern“.
Auf die Frage nach dem tatsächlichen Ausmaß der Verluste, die die Börse erlitten hat, sagte Marszalek, dass „diese Zahlen angesichts des Umfangs des Geschäfts nicht besonders bedeutend sind.“
Das Post-Mortem des Unternehmens bestätigte, dass der Sicherheitsvorfall auf Probleme mit 2FA zurückzuführen ist.
Crypto.com sagte, dass es auch eine völlig neue 2FA-Infrastruktur eingerichtet und migriert hat, wobei 2FA-Tokens für alle Benutzer widerrufen wurden, „um sicherzustellen, dass die neue Infrastruktur in Kraft ist“.
We just published full incident report which a sums up what happened and how we addressed it. All 483 affected accounts were fully reimbursed, ie. no customer loss of funds.
We’re also launching US$250,000 Worldwide Account Protection Program covering funds held with us. https://t.co/8SHGaaoaCn
— Kris | Crypto.com (@Kris_HK) January 20, 2022
Die Börse führte eine zusätzliche Sicherheitsebene ein, um eine obligatorische 24-stündige Verzögerung zwischen der Registrierung einer neuen Whitelist-Abhebungsadresse und der ersten Abhebung von Geldern einzuführen.
Nach Angaben des Unternehmens gibt dies den Nutzern „ausreichend Zeit, um zu reagieren und zu antworten“ auf Benachrichtigungen, dass neue Abhebungsadressen hinzugefügt worden sind.
Crypto.com hat auch die Einführung des Worldwide Account Protection Program (WAPP) angekündigt, das dazu dient, die Gelder der Nutzer zu schützen, wenn sich ein Dritter unbefugt Zugang zu ihrem Konto verschafft und Gelder ohne die Erlaubnis des Nutzers abhebt“.
WAPP eröffnet die Möglichkeit, Gelder bis zu 250.000 $ wiederherzustellen. Allerdings ist der Anspruch an mehrere Bedingungen geknüpft, u. a. an die Verpflichtung, mindestens 21 Tage vor der gemeldeten unbefugten Transaktion die Multi-Faktor-Authentifizierung zu aktivieren und einen Anti-Phishing-Code einzurichten.
Außerdem müssen die Nutzer eine polizeiliche Anzeige erstatten und einen Fragebogen ausfüllen, um eine forensische Untersuchung zu unterstützen
