Kryptografická burza Crypto.com přišla při nedávném bezpečnostním incidentu o zhruba 34 milionů dolarů, jak vyplývá ze zprávy zveřejněné ve čtvrtek.
Crypto.com, čtvrtá největší kryptoměnová burza v oboru, konečně přiznala, že kvůli nedávnému narušení bezpečnosti přišla o finanční prostředky uživatelů.
Podle příspěvku na blogu zveřejněného ve čtvrtek se incident týkal celkem 483 uživatelů, což mělo za následek neoprávněné výběry v celkové výši 4 836,26 Etherea, 443,93 Bitcoinu a přibližně 66 200 dolarů v jiných kryptoměnách, tedy zhruba 33,84 milionu dolarů v současných cenách.
Singapurská společnost Crypto.com oznámila, že pozastavuje výběry poté, co v pondělí „malý počet uživatelů zaznamenal neoprávněnou aktivitu na svých účtech“, a vyzvala zákazníky, aby si obnovili dvoufaktorové ověřování (2FA).
Bezpečnostní společnost Peckshield později odhalila, že v důsledku incidentu přišla společnost Crypto.com o nejméně 4 600 ETH (asi 15 milionů USD) v prostředcích uživatelů, a sdělila společnosti Decrypt, že rozsah škod byl „rozhodně horší“.
Podle společnosti Peckshield byla polovina ukradených prostředků odeslána na Tornado Cash, službu míchání kryptoměn, která uživatelům umožňuje zastírat jejich transakce.
Kromě toho blockchainový analytik ErgoBTC uvedl, že se hackerům podařilo uniknout s přibližně 444 BTC, což je číslo, které Crypto.com potvrdil v dnešní postmortem.
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Navzdory řadě důkazů společnost Crypto.com hackerský útok zpočátku odmítala uznat a její generální ředitel Kris Marszalek tvrdil, že „nedošlo ke ztrátě finančních prostředků zákazníků“.
Generální ředitel společnosti Crypto.com: „Čísla nejsou nijak zvlášť podstatná „
Marszalek ve středu vystoupil v televizi Bloomberg a konečně potvrdil, že bylo ohroženo přibližně 400 zákaznických účtů.
Podle něj společnost Crypto.com rychle pozastavila výběry poté, co zjistila, že „některé z obranných vrstev byly narušeny“, problém odstranila a byla „zpět online asi za 13 až 14 hodin.“
JUST IN: CEO @cryptocom’s Kris Marszalek discusses the site's recent hack with @BloombergTV’s @emilychangtv. "Customer funds were never at risk." #TheYearAhead pic.twitter.com/YlCtGO60t5
— Bloomberg Live (@BloombergLive) January 19, 2022
Dodal, že téhož dne „byly všechny postižené účty vráceny, takže nedošlo ke ztrátě finančních prostředků zákazníků“.
Na otázku ohledně skutečného rozsahu ztrát, které burza utrpěla, Marszalek odpověděl, že „vzhledem k rozsahu obchodu nejsou tato čísla nijak zvlášť významná“.
Pitva společnosti potvrdila, že k bezpečnostnímu incidentu došlo v důsledku problémů s 2FA.
Společnost Crypto.com uvedla, že také přepracovala a přešla na zcela novou infrastrukturu 2FA, přičemž tokeny 2FA pro všechny uživatele byly zrušeny, „aby bylo zajištěno, že nová infrastruktura bude platit.“
We just published full incident report which a sums up what happened and how we addressed it. All 483 affected accounts were fully reimbursed, ie. no customer loss of funds.
We’re also launching US$250,000 Worldwide Account Protection Program covering funds held with us. https://t.co/8SHGaaoaCn
— Kris | Crypto.com (@Kris_HK) January 20, 2022
Burza zavedla další vrstvu zabezpečení, aby přidala povinnou 24hodinovou prodlevu mezi registrací nové adresy pro výběr z bílé listiny a prvním výběrem prostředků.
Podle společnosti to uživatelům poskytne „dostatečný čas na reakci a odpověď“ na oznámení o přidání nových adres pro výběr.
Společnost Crypto.com rovněž oznámila spuštění programu WAPP (Worldwide Account Protection Program), který je „určen k ochraně prostředků uživatelů v případech, kdy třetí strana získá neoprávněný přístup k jejich účtu a vybere prostředky bez souhlasu uživatele“.
Program WAPP otevírá možnost obnovit finanční prostředky až do výše 250 000 USD. Přesto je její získání spojeno s několika podmínkami, včetně požadavku na zapnutí vícefaktorového ověřování a nastavení antiphishingového kódu nejméně 21 dní před nahlášenou neoprávněnou transakcí.
Uživatelé budou muset také podat policejní zprávu a vyplnit dotazník na podporu forenzního vyšetřování.
