Cryptocurrency exchange Crypto.com heeft ruwweg $34 miljoen verloren in een recent beveiligingsincident, volgens een post-mortem vrijgegeven op donderdag.
Crypto.com, de op drie na grootste cryptocurrency-uitwisseling in de sector, heeft eindelijk toegegeven dat het gebruikersgelden heeft verloren als gevolg van een recente beveiligingsinbreuk.
Volgens een blogpost gepubliceerd op donderdag, trof het incident in totaal 483 gebruikers, wat resulteerde in ongeautoriseerde opnames van in totaal 4.836,26 Ethereum, 443,93 Bitcoin, en ongeveer $ 66.200 in andere cryptocurrencies, of ruwweg $ 33,84 miljoen in de huidige prijzen.
Het in Singapore gevestigde Crypto.com kondigde aan dat het opnames pauzeerde nadat “een klein aantal gebruikers ongeoorloofde activiteit op hun rekeningen ervoeren” op maandag, en drong er bij klanten op aan om hun twee-factor authenticatie (2FA) opnieuw in te stellen.
Beveiligingsbedrijf Peckshield onthulde later dat het incident ertoe leidde dat Crypto.com minstens 4.600 ETH (ongeveer 15 miljoen dollar) aan gebruikersfondsen verloor, en vertelde Decrypt dat de omvang van de schade “zeker erger” was.
Volgens Peckshield werd de helft van de gestolen fondsen naar Tornado Cash gestuurd, een crypto mixdienst die gebruikers in staat stelt om hun transacties te versluieren.
Daarbovenop zei blockchain-analist ErgoBTC dat hackers er met ongeveer 444 BTC vandoor zijn gegaan, het aantal dat Crypto.com in de post-mortem van vandaag bevestigde.
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Ondanks de litanie van bewijzen, weigerde Crypto.com aanvankelijk om de hack te erkennen, met de CEO van het bedrijf, Kris Marszalek, die beweerde dat “er geen klantenfondsen verloren gingen. ”
Crypto.com CEO: “Getallen niet bijzonder materieel “
Marszalek verscheen woensdag op Bloomberg TV en bevestigde uiteindelijk dat ongeveer 400 klantenrekeningen waren gecompromitteerd.
Volgens hem heeft Crypto.com snel geldopnames gepauzeerd nadat het ontdekte dat “sommige verdedigingslagen waren geschonden”, het probleem verholpen en was “weer online in ongeveer 13 tot 14 uur. ”
JUST IN: CEO @cryptocom’s Kris Marszalek discusses the site's recent hack with @BloombergTV’s @emilychangtv. "Customer funds were never at risk." #TheYearAhead pic.twitter.com/YlCtGO60t5
— Bloomberg Live (@BloombergLive) January 19, 2022
Hij voegde eraan toe dat diezelfde dag “alle rekeningen die waren getroffen, waren terugbetaald, dus er was geen verlies van klantenfondsen.”
Op de vraag over de werkelijke omvang van de door de beurs geleden verliezen, zei Marszalek dat “gezien de omvang van het bedrijf, deze cijfers niet bijzonder materieel zijn”.
De post-mortem van het bedrijf bevestigde dat het beveiligingsincident plaatsvond als gevolg van problemen met 2FA.
Crypto.com zei dat het ook vernieuwd en gemigreerd is naar een geheel nieuwe 2FA-infrastructuur, waarbij 2FA-tokens voor alle gebruikers zijn ingetrokken “om ervoor te zorgen dat de nieuwe infrastructuur in werking was. ”
We just published full incident report which a sums up what happened and how we addressed it. All 483 affected accounts were fully reimbursed, ie. no customer loss of funds.
We’re also launching US$250,000 Worldwide Account Protection Program covering funds held with us. https://t.co/8SHGaaoaCn
— Kris | Crypto.com (@Kris_HK) January 20, 2022
De beurs introduceerde een extra beveiligingslaag door een verplichte vertraging van 24 uur toe te voegen tussen de registratie van een nieuw whitelisted opnameadres en de eerste opname van fondsen.
Volgens het bedrijf geeft dit gebruikers “voldoende tijd om te reageren en te antwoorden” op meldingen dat er nieuwe opnameadressen zijn toegevoegd.
Crypto.com heeft ook de lancering aangekondigd van het Worldwide Account Protection Program (WAPP), dat is “ontworpen om gebruikersgelden te beschermen in gevallen waarin een derde partij ongeautoriseerde toegang krijgt tot hun account en geld opneemt zonder toestemming van de gebruiker.”
WAPP biedt de mogelijkheid om fondsen tot $250.000 te herstellen. Er zijn wel een aantal voorwaarden om hiervoor in aanmerking te komen, waaronder de eis om ten minste 21 dagen voor de gemelde ongeoorloofde transactie multifactorauthenticatie in te schakelen en een antiphishingcode in te stellen.
Gebruikers zullen ook aangifte moeten doen bij de politie en een vragenlijst moeten invullen om een forensisch onderzoek te ondersteunen.
