Криптовалютная биржа Crypto.com потеряла около 34 миллионов долларов в результате недавнего инцидента безопасности, согласно вскрытию, опубликованному в четверг.
Crypto.com, четвертая по величине криптовалютная биржа в отрасли, наконец признала, что потеряла средства пользователей из-за недавней бреши в системе безопасности.
Согласно сообщению в блоге, опубликованному в четверг, инцидент затронул в общей сложности 483 пользователя, что привело к несанкционированному выводу средств на общую сумму 4836,26 Ethereum, 443,93 Bitcoin и около 66 200 долларов США в других криптовалютах, или примерно 33,84 миллиона долларов США в текущих ценах.
Сингапурская компания Crypto.com объявила о приостановке вывода средств после того, как «небольшое количество пользователей столкнулись с несанкционированной активностью на своих счетах» в понедельник, призвав клиентов сбросить настройки двухфакторной аутентификации (2FA).
Позднее компания Peckshield, занимающаяся безопасностью, сообщила, что в результате инцидента Crypto.com потерял по меньшей мере 4600 ETH (около $15 млн.) средств пользователей, и сказала Decrypt, что масштаб ущерба был «определенно хуже».
По данным Peckshield, половина украденных средств была отправлена в Tornado Cash, криптовалютный микшерный сервис, который позволяет пользователям затушевывать свои транзакции.
Кроме того, блокчейн-аналитик ErgoBTC сообщил, что хакерам удалось унести около 444 BTC — число, которое Crypto.com подтвердил в сегодняшнем post-mortem.
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Несмотря на многочисленные доказательства, Crypto.com сначала отказалась признать факт взлома, а генеральный директор компании Крис Маршалек заявил, что «никакие средства клиентов не были потеряны »
Генеральный директор Crypto.com: «Цифры не особо существенны «
Маршалек выступил на Bloomberg TV в среду, окончательно подтвердив, что около 400 клиентских счетов были скомпрометированы.
По его словам, Crypto.com быстро приостановил вывод средств после того, как обнаружил, что «некоторые защитные уровни были нарушены», устранил проблему и «вернулся в онлайн примерно через 13-14 часов»
JUST IN: CEO @cryptocom’s Kris Marszalek discusses the site's recent hack with @BloombergTV’s @emilychangtv. "Customer funds were never at risk." #TheYearAhead pic.twitter.com/YlCtGO60t5
— Bloomberg Live (@BloombergLive) January 19, 2022
Он добавил, что в тот же день «все счета, которые были затронуты, были возмещены, так что потери средств клиентов не было».
На вопрос о реальных размерах потерь, понесенных биржей, Маршалек ответил, что «учитывая масштабы бизнеса, эти цифры не особенно существенны».
Вскрытие компании подтвердило, что инцидент безопасности произошел из-за проблем с 2FA.
Crypto.com заявила, что она также перестроила и перешла на совершенно новую инфраструктуру 2FA, при этом токены 2FA для всех пользователей были отозваны «для обеспечения действия новой инфраструктуры. »
We just published full incident report which a sums up what happened and how we addressed it. All 483 affected accounts were fully reimbursed, ie. no customer loss of funds.
We’re also launching US$250,000 Worldwide Account Protection Program covering funds held with us. https://t.co/8SHGaaoaCn
— Kris | Crypto.com (@Kris_HK) January 20, 2022
Биржа ввела дополнительный уровень безопасности, добавив обязательную 24-часовую задержку между регистрацией нового адреса вывода средств в белом списке и первым выводом средств.
По словам компании, это даст пользователям «достаточно времени, чтобы отреагировать и ответить» на уведомления о добавлении новых адресов вывода средств.
Crypto.com также объявил о запуске программы Worldwide Account Protection Program (WAPP), которая «предназначена для защиты средств пользователей в случаях, когда третья сторона получает несанкционированный доступ к их счету и выводит средства без разрешения пользователя».
WAPP открывает возможность восстановления средств на сумму до 250 000 долларов. Тем не менее, для получения права на участие в программе необходимо выполнить несколько условий, включая требование включить многофакторную аутентификацию и установить антифишинговый код не менее чем за 21 день до несанкционированной транзакции.
Пользователи также должны будут подать заявление в полицию и заполнить анкету для проведения судебной экспертизы.
