Wymiennik kryptowalutowy Crypto.com stracił około 34 milionów dolarów w wyniku niedawnego incydentu bezpieczeństwa, zgodnie z pośmiertnym raportem wydanym w czwartek.
Crypto.com, czwarta co do wielkości giełda kryptowalutowa w branży, w końcu przyznała, że straciła fundusze użytkowników z powodu niedawnego naruszenia bezpieczeństwa.
Zgodnie z wpisem na blogu opublikowanym w czwartek, incydent dotknął łącznie 483 użytkowników, co spowodowało nieautoryzowane wypłaty o łącznej wartości 4 836,26 Ethereum, 443,93 Bitcoinów i około 66 200 USD w innych kryptowalutach, czyli mniej więcej 33,84 mln USD w cenach bieżących.
Singapurska firma Crypto.com ogłosiła, że wstrzymuje wypłaty po tym, jak „niewielka liczba użytkowników doświadczyła nieautoryzowanej aktywności na swoich kontach” w poniedziałek, wzywając klientów do zresetowania ich dwuskładnikowego uwierzytelniania (2FA).
Firma ochroniarska Peckshield ujawniła później, że incydent spowodował, że Crypto.com stracił co najmniej 4 600 ETH (około 15 milionów dolarów) w funduszach użytkowników, mówiąc Decrypt, że skala szkód była „zdecydowanie gorsza”.
Według Peckshield, połowa skradzionych środków została wysłana do Tornado Cash, usługi mieszania kryptowalut, która umożliwia użytkownikom zaciemnianie swoich transakcji.
Na domiar złego, analityk blockchain ErgoBTC powiedział, że hakerom udało się uciec z około 444 BTC, czyli liczbą, którą Crypto.com potwierdziło w dzisiejszym post-mortem.
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Pomimo litanii dowodów, Crypto.com początkowo odmówił przyznania się do włamania, z CEO firmy Krisem Marszalkiem twierdzącym, że „żadne środki klientów nie zostały utracone. ”
Crypto.com CEO: „Numery nie są szczególnie istotne „
Marszałek pojawił się w Bloomberg TV w środę, ostatecznie potwierdzając, że około 400 kont klientów zostało skompromitowanych.
Według niego, Crypto.com szybko wstrzymał wypłaty po wykryciu, że „niektóre z warstw obrony zostały naruszone”, naprawił problem i był „z powrotem online w ciągu około 13 do 14 godzin. ”
JUST IN: CEO @cryptocom’s Kris Marszalek discusses the site's recent hack with @BloombergTV’s @emilychangtv. "Customer funds were never at risk." #TheYearAhead pic.twitter.com/YlCtGO60t5
— Bloomberg Live (@BloombergLive) January 19, 2022
Dodał, że tego samego dnia, „wszystkie konta, które zostały dotknięte problemem zostały zwrócone, więc nie było utraty środków klientów.”
Przyciśnięty pytaniem o rzeczywisty rozmiar strat poniesionych przez giełdę, Marszałek powiedział, że „biorąc pod uwagę skalę biznesu, liczby te nie są szczególnie istotne.”
Pośmiertnie firma potwierdziła, że incydent bezpieczeństwa wystąpił z powodu problemów z 2FA.
Crypto.com powiedział również, że dokonał reorganizacji i migracji do całkowicie nowej infrastruktury 2FA, a tokeny 2FA dla wszystkich użytkowników zostały wycofane „aby upewnić się, że nowa infrastruktura działa. ”
We just published full incident report which a sums up what happened and how we addressed it. All 483 affected accounts were fully reimbursed, ie. no customer loss of funds.
We’re also launching US$250,000 Worldwide Account Protection Program covering funds held with us. https://t.co/8SHGaaoaCn
— Kris | Crypto.com (@Kris_HK) January 20, 2022
Giełda wprowadziła dodatkową warstwę bezpieczeństwa, aby dodać obowiązkowe 24-godzinne opóźnienie między rejestracją nowego adresu do wypłat a pierwszą wypłatą środków.
Według firmy, da to użytkownikom „odpowiedni czas na reakcję i odpowiedź” na powiadomienia o dodaniu nowych adresów do wypłat.
Crypto.com ogłosił również uruchomienie programu Worldwide Account Protection Program (WAPP), który jest „zaprojektowany w celu ochrony funduszy użytkownika w przypadkach, gdy osoba trzecia uzyska nieautoryzowany dostęp do konta i wypłaci środki bez zgody użytkownika.”
WAPP otwiera możliwość przywrócenia środków do kwoty 250 000$. Mimo to, wiąże się to z kilkoma warunkami, aby się zakwalifikować, w tym wymogiem włączenia wieloczynnikowego uwierzytelniania i skonfigurowania kodu anty-phishingowego co najmniej 21 dni przed zgłoszoną nieautoryzowaną transakcją.
Użytkownicy będą musieli również złożyć raport policyjny i wypełnić kwestionariusz, aby wesprzeć dochodzenie kryminalistyczne.
