Cryptocurrency exchange Crypto.com perdeu cerca de $34 milhões num recente incidente de segurança, de acordo com um post-mortem divulgado na quinta-feira.
Crypto.com, a quarta maior troca de divisas criptográficas da indústria, admitiu finalmente ter perdido fundos de utilizador devido a uma recente quebra de segurança.
De acordo com um post no blogue publicado na quinta-feira, o incidente afectou um total de 483 utilizadores, resultando em levantamentos não autorizados num total de 4.836,26 Ethereum, 443,93 Bitcoin, e aproximadamente $66.200 noutras moedas criptográficas, ou cerca de $33,84 milhões de dólares a preços correntes.
Crypto.com, baseado em Singapura, anunciou que estava a fazer uma pausa nos levantamentos após “um pequeno número de utilizadores ter experimentado actividade não autorizada nas suas contas” na segunda-feira, exortando os clientes a repor a sua autenticação de dois factores (2FA).
Security company Peckshield revelou mais tarde que o incidente resultou na perda de pelo menos 4.600 ETH (cerca de 15 milhões de dólares) em fundos de utilizador pelo Crypto.com, dizendo ao Decrypt que a escala dos danos foi “definitivamente pior”.
De acordo com Peckshield, metade dos fundos roubados foram enviados para o Tornado Cash, um serviço de mistura criptográfica que permite aos utilizadores ofuscar as suas transacções.
Além disso, o analista de cadeias de bloqueio ErgoBTC disse que os hackers conseguiram escapar com cerca de 444 BTC, o número Crypto.com confirmado no post mortem.
de hoje.
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Apesar da ladainha de provas, Crypto.com recusou-se inicialmente a reconhecer o hack, com o CEO da empresa Kris Marszalek a afirmar que “não se perderam fundos de clientes”.
Crypto.com CEO: “Números não particularmente materiais “
Marszalek apareceu na Bloomberg TV na quarta-feira, confirmando finalmente que cerca de 400 contas de clientes tinham sido comprometidas.
Segundo ele, o Crypto.com rapidamente fez uma pausa nos levantamentos após detectar que “algumas das camadas de defesa foram violadas”, resolveu o problema, e voltou a estar “online em cerca de 13 a 14 horas”
Ele acrescentou que no mesmo dia, “todas as contas que foram afectadas foram reembolsadas, pelo que não houve perda de fundos dos clientes”.
Quando pressionado com a questão sobre a dimensão real das perdas sofridas pela troca, Marszalek disse que “dada a escala do negócio, estes números não são particularmente materiais”.
O post-mortem da empresa confirmou que o incidente de segurança ocorreu devido a problemas com o 2FA.
O Crypto.com disse que também foi renovado e migrou para uma infra-estrutura 2FA inteiramente nova, com 2 fichas 2FA para todos os utilizadores revogadas “para assegurar que a nova infra-estrutura estava em vigor”.
A troca introduziu uma camada adicional de segurança para adicionar um atraso obrigatório de 24 horas entre o registo de um novo endereço de retirada da lista branca e a primeira retirada de fundos.
De acordo com a empresa, isto dará aos utilizadores “tempo adequado para reagir e responder” às notificações de que novos endereços de retirada foram adicionados.
A Crypto.com anunciou também o lançamento do Programa Mundial de Protecção de Contas (WAPP), que foi “concebido para proteger os fundos dos utilizadores nos casos em que um terceiro obtém acesso não autorizado à sua conta e retira fundos sem a autorização do utilizador”.
O WAPP abre a possibilidade de restaurar fundos até $250.000. Ainda assim, vem com várias condições para se qualificar, incluindo o requisito de permitir a autenticação multi-factor e estabelecer um código anti-phishing pelo menos 21 dias antes da transacção não autorizada comunicada.
Os utilizadores terão também de apresentar um relatório policial e preencher um questionário para apoiar uma investigação forense.
