暗号通貨取引所のCrypto.comは、木曜日に発表された事後報告によると、最近のセキュリティ事件でおよそ3400万ドルを失ったとのことです。
業界第4位の暗号通貨取引所であるCrypto.comは、最近のセキュリティ侵害によりユーザーの資金を失ったことをようやく認めました。
木曜日に公開されたブログ記事によると、この事件は合計483人のユーザーに影響を与え、合計4,836.26イーサリアム、443.93ビットコイン、その他の暗号通貨で約66,200ドル、現在の価格でおよそ3,384万ドルの不正な引き出しが行われました。
シンガポールを拠点とするCrypto.comは、月曜日に「少数のユーザーが自分のアカウントで不正な活動を経験した」ため、引き出しを一時停止すると発表し、顧客に2ファクタ認証(2FA)のリセットを促しました。
セキュリティ会社Peckshieldはその後、この事件によってCrypto.comは少なくとも4,600ETH(約1,500万ドル)のユーザー資金を失ったことを明らかにし、被害の規模は “間違いなく悪化している “とDecryptに語った。
Peckshieldによると、盗まれた資金の半分は、ユーザーが取引を難読化できる暗号ミキシングサービス「Tornado Cash」に送られたという。
その上、ブロックチェーンアナリストのErgoBTCによると、ハッカーは約444BTCを持ち去ることに成功し、その数はCrypto.comが本日の事後報告で確認したものです。
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
多くの証拠があるにもかかわらず、Crypto.comは当初、ハッキングを認めようとせず、同社のCEOであるKris Marszalek氏は「顧客の資金は失われていない」と主張しました。
Crypto.com CEO: “数字は特に重要ではない “
Marszalek氏は水曜日にBloomberg TVに出演し、最終的に約400の顧客口座が侵害されたことを確認しました。
同氏によると、Crypto.comは「いくつかの防御層が破られた」ことを検知した後、すぐに引き出しを一時停止し、問題を修正し、「約13~14時間でオンラインに戻った」とのことです。
JUST IN: CEO @cryptocom’s Kris Marszalek discusses the site's recent hack with @BloombergTV’s @emilychangtv. "Customer funds were never at risk." #TheYearAhead pic.twitter.com/YlCtGO60t5
— Bloomberg Live (@BloombergLive) January 19, 2022
また、同日、「影響を受けたすべての口座に払い戻しが行われたため、顧客資金の損失はなかった」と述べました。
取引所が被った実際の損失額について質問を受けたMarszalek氏は、”ビジネスの規模を考えると、この数字は特に重要ではない “と述べました。
同社の事後調査では、2FAの問題によりセキュリティインシデントが発生したことが確認されました。
Crypto.comによると、同社はまた、全く新しい2FAインフラストラクチャに刷新して移行し、「新しいインフラストラクチャが有効であることを確認するために」すべてのユーザーの2FAトークンを失効させたとのことです。
We just published full incident report which a sums up what happened and how we addressed it. All 483 affected accounts were fully reimbursed, ie. no customer loss of funds.
We’re also launching US$250,000 Worldwide Account Protection Program covering funds held with us. https://t.co/8SHGaaoaCn
— Kris | Crypto.com (@Kris_HK) January 20, 2022
取引所は、ホワイトリストに登録された新規出金アドレスの登録から最初の出金まで、24時間の遅延を義務付けるという追加のセキュリティレイヤーを導入しました。
同社によると、これによりユーザーは、新しい出金アドレスが追加されたという通知に「反応して対応するための十分な時間」を確保することができます。
Crypto.comはまた、WAPP(Worldwide Account Protection Program)の開始を発表しました。WAPPは、”第三者がアカウントに不正アクセスし、ユーザーの許可なく資金を引き出した場合に、ユーザーの資金を保護するためのもの “です。
WAPPは、最大25万ドルまでの資金を回復できる可能性を秘めています。ただし、不正取引が報告される21日前までに、多要素認証を有効にし、フィッシング対策コードを設定することなど、いくつかの条件があります。
また、ユーザーは警察に報告し、フォレンジック調査のためのアンケートに回答しなければなりません。
