Cryptocurrency exchange Crypto.com ha perso circa 34 milioni di dollari in un recente incidente di sicurezza, secondo un post-mortem rilasciato giovedì.
Crypto.com, il quarto scambio di criptovalute più grande del settore, ha finalmente ammesso di aver perso fondi degli utenti a causa di una recente violazione della sicurezza.
Secondo un post sul blog pubblicato giovedì, l’incidente ha colpito un totale di 483 utenti, causando prelievi non autorizzati per un totale di 4.836,26 Ethereum, 443,93 Bitcoin, e circa $66.200 in altre criptovalute, o circa $33,84 milioni ai prezzi attuali.
Crypto.com, con sede a Singapore, ha annunciato che stava mettendo in pausa i prelievi dopo che “un piccolo numero di utenti ha sperimentato attività non autorizzate nei loro conti” lunedì, invitando i clienti a reimpostare la loro autenticazione a due fattori (2FA).
La società di sicurezza Peckshield ha poi rivelato che l’incidente ha portato Crypto.com a perdere almeno 4.600 ETH (circa 15 milioni di dollari) in fondi degli utenti, dicendo a Decrypt che la scala del danno è stata “decisamente peggiore”.
Secondo Peckshield, la metà dei fondi rubati sono stati inviati a Tornado Cash, un servizio di miscelazione di criptovalute che permette agli utenti di offuscare le loro transazioni.
Oltre a questo, l’analista di blockchain ErgoBTC ha detto che gli hacker sono riusciti a farla franca con circa 444 BTC, il numero che Crypto.com ha confermato nel post-mortem di oggi.
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Nonostante la litania di prove, Crypto.com ha inizialmente rifiutato di riconoscere l’hacking, con il CEO dell’azienda Kris Marszalek che sostiene che “nessun fondo dei clienti è stato perso.
Crypto.com CEO: “Numeri non particolarmente rilevanti “
Marszalek è apparso su Bloomberg TV mercoledì, confermando finalmente che circa 400 conti di clienti sono stati compromessi.
Secondo lui, Crypto.com ha rapidamente messo in pausa i prelievi dopo aver rilevato che “alcuni dei livelli di difesa sono stati violati”, ha risolto il problema ed è “tornato online in circa 13-14 ore”.
JUST IN: CEO @cryptocom’s Kris Marszalek discusses the site's recent hack with @BloombergTV’s @emilychangtv. "Customer funds were never at risk." #TheYearAhead pic.twitter.com/YlCtGO60t5
— Bloomberg Live (@BloombergLive) January 19, 2022
Ha aggiunto che lo stesso giorno, “tutti i conti che sono stati colpiti sono stati rimborsati, quindi non c’è stata alcuna perdita di fondi dei clienti”.
Alla domanda sulla reale portata delle perdite subite dallo scambio, Marszalek ha detto che “data la scala del business, questi numeri non sono particolarmente rilevanti”.
L’autopsia della società ha confermato che l’incidente di sicurezza si è verificato a causa di problemi con 2FA.
Crypto.com ha detto che ha anche rinnovato e migrato a un’infrastruttura 2FA completamente nuova, con i token 2FA per tutti gli utenti revocati “per garantire che la nuova infrastruttura fosse in vigore. ”
We just published full incident report which a sums up what happened and how we addressed it. All 483 affected accounts were fully reimbursed, ie. no customer loss of funds.
We’re also launching US$250,000 Worldwide Account Protection Program covering funds held with us. https://t.co/8SHGaaoaCn
— Kris | Crypto.com (@Kris_HK) January 20, 2022
Lo scambio ha introdotto un ulteriore livello di sicurezza per aggiungere un ritardo obbligatorio di 24 ore tra la registrazione di un nuovo indirizzo di prelievo whitelisted e il primo prelievo di fondi.
Secondo la società, questo darà agli utenti “un tempo adeguato per reagire e rispondere” alle notifiche che nuovi indirizzi di prelievo sono stati aggiunti.
Crypto.com ha anche annunciato il lancio del Worldwide Account Protection Program (WAPP), che è “progettato per proteggere i fondi degli utenti nei casi in cui una terza parte ottiene un accesso non autorizzato al loro conto e ritira i fondi senza il permesso dell’utente”.
Il WAPP apre la possibilità di ripristinare i fondi fino a 250.000 dollari. Tuttavia, viene con diverse condizioni per qualificarsi, tra cui l’obbligo di attivare l’autenticazione a più fattori e impostare un codice anti-phishing almeno 21 giorni prima della transazione non autorizzata segnalata.
Gli utenti dovranno anche presentare una denuncia alla polizia e completare un questionario per supportare un’indagine forense.
