Występują sprzeczne raporty dotyczące utraty środków użytkowników. Więcej będzie wiadomo po zakończeniu wewnętrznych dochodzeń.
Crypto.com CEO Kris Marszalek bagatelizuje poniedziałkowe wydarzenie „nieautoryzowanej aktywności”, mówiąc, że więcej informacji pojawi się po wynikach wewnętrznego dochodzenia.
Niektórzy użytkownicy zgłosili podejrzaną aktywność konta w dniach poprzedzających, co doprowadziło do zawieszenia wypłat przez giełdę. Jak podaje Bloomberg, w wyniku tego z kont Crypto.com ubyły dziesiątki tysięcy dolarów.
Jednakże, podając aktualizację, Marszalek twierdzi, że żadne środki użytkowników nie zostały utracone.
Konfliktowe raporty o stratach
As the event unfolded, Crypto.com tweetował krótkie wyjaśnienie tego, co się dzieje, wraz z informacją o zawieszeniu wypłaty. W tweecie zapewniono również użytkowników, że wszystkie środki są bezpieczne.
We have a small number of users reporting suspicious activity on their accounts.
We will be pausing withdrawals shortly, as our team is investigating. All funds are safe.
— Crypto.com (@cryptocom) January 17, 2022
Crypto.com działa w oparciu o polisę ubezpieczeniową o wartości 750 milionów dolarów. Specyfika polisy, jak np. klauzule, nie została jednak przez firmę szczegółowo opisana.
Odpowiadając na powyższego tweeta, influencer Ben Baller wyraził frustrację z powodu jego słabych doświadczeń z obsługą klienta po zgłoszeniu skradzionych środków w wysokości około 13 500 dolarów. Baller zapytał, w jaki sposób sprawcy byli w stanie ominąć uwierzytelnianie dwuskładnikowe.
„Wysłałem wiadomość do was kilka godzin temu o tym, że z mojego konta znikąd skradziono 4.28ETH i zastanawiam się też, jak udało im się ominąć 2FA? ”
Po tej odpowiedzi pojawili się inni, którzy twierdzili, że oni również stracili fundusze. Jeden z użytkowników twierdzi, że stracił 1,2 BTC (36 700 dolarów) w ciągu czterech oddzielnych nieautoryzowanych wypłat.
Firma Peckshield, zajmująca się bezpieczeństwem blockchain, zrewidowała swoje stanowisko, twierdząc, że straty znacznie przewyższają te początkowo zgłoszone przez Bloomberga.
Według Peckshield, włamanie wyniosło 15 milionów dolarów. Ich tweet pokazuje analizę adresów skradzionych ETH, które zostały wysłane na adresy Tornado Cash.
The @cryptocom loss is about $15M with at least 4.6K ETHs and half of them are currently being washed via @TornadoCash https://t.co/PUl6IrB3cp https://t.co/6SVKvk8PLf pic.twitter.com/XN9nmT857j
— PeckShield Inc. (@peckshield) January 18, 2022
Używając protokołów mieszanych, takich jak Tornado Cash, hakerzy mogą ukryć „papierową ścieżkę” łączącą adres źródłowy z adresem docelowym, piorąc w ten sposób skradzione fundusze.
Szef Kryptowalut.com dziękuje społeczności za wsparcie
Odpowiadając na dzisiejszy incydent, Marszałek powiedział, że żadne środki klientów nie zostały utracone, wypłaty zostały przywrócone w ciągu 14 godzin, a oni zwiększyli bezpieczeństwo w odpowiedzi. Powiedział również, że udzieli więcej informacji po zakończeniu dochodzenia.
Some thoughts from me on the last 24 hours:
– no customer funds were lost
– the downtime of withdrawal infra was ~14 hours
– our team has hardened the infrastructure in response to the incidentWe will share a full post mortem after the internal investigation is completed.
— Kris | Crypto.com (@Kris_HK) January 18, 2022
Godziny później, Marszalek opublikował kolejny tweet, w którym podziękował za wsparcie i potraktował incydent jako okazję do poprawy procedur bezpieczeństwa Crypto.com.
„Jestem szczególnie zadowolony z dwóch rzeczy:
– wsparcia, jakie otrzymaliśmy od społeczności zarówno publicznie, jak i w DM-ach
– możliwość, jaką dał nam ten incydent, aby jeszcze bardziej wzmocnić nasz setup
Uczymy się, poprawiamy, idziemy naprzód niezrażeni. „
Kiedy dochodzi do głośnych włamań na giełdy, użytkownicy kryptowalut przypominają sobie o ryzyku związanym z osobami trzecimi, które mają do czynienia ze scentralizowanymi giełdami.
Czekamy na wyniki dochodzenia.