Po złamaniu loginu API firma Kronos Research zajmująca się handlem kryptowalutami padła ofiarą włamania. Straty wyniosły łącznie 26 milionów dolarów.
Kronos Research ponosi straty w wysokości 26 milionów dolarów
W sobotę wieczorem firma handlowa Kronos Research poniosła stratę w wyniku włamania. W następnych godzinach firma wydała oświadczenie wyjaśniające, że atak był spowodowany nieuczciwym dostępem za pośrednictwem połączenia API:
„W trosce o przejrzystość: około 4 godziny temu doświadczyliśmy nieautoryzowanego dostępu do niektórych naszych kluczy API. Zawiesiliśmy wszystkie transakcje na czas dochodzenia. Potencjalne straty nie stanowią znaczącej części naszego kapitału i zamierzamy wznowić handel tak szybko, jak to możliwe.”
W niedzielę Kronos Research podał więcej szczegółów, potwierdzając, że skradzione kwoty wynoszą około 26 milionów dolarów. Ponadto firma wyjaśnia, że środki klientów nie zostaną naruszone, ponieważ „wszystkie straty zostaną pokryte wewnętrznie” :
1/ Od godziny 1:20 (GMT+8) nasz zespół pracuje przez całą dobę, aby zminimalizować wpływ i wznowić operacje handlowe po incydencie hakerskim, który wiązał się z nieautoryzowanym dostępem do naszych kluczy API. https://t.co/t2cP9s69sZ
– Kronos Research (@ResearchKronos) 19 listopada 2023
Firma podziękowała również giełdom, z którymi współpracowała, bez wymieniania ich z nazwy, za ich reakcję w „pomocy w zarządzaniu sytuacją”. Sugeruje to, że przynajmniej część skradzionych środków mogła zostać zamrożona, choć nie można tego potwierdzić wobec braku formalnego potwierdzenia.
Ze swojej strony, badacz łańcucha ZachXBT był w stanie zidentyfikować ruchy łączące kilka adresów z atakiem poprzez dużą ilość ETH:
Sorry powinno być $25M nie $20.3M****
– ZachXBT (@zachxbt) November 18, 2023
W związku z tym problemem, firma twierdzi, że jest to pierwszy raz od 2018 roku, kiedy ograniczyła giełdy na swojej platformie.
Możemy jednak zauważyć, że w 2020 r. doszło do kolejnego incydentu, kiedy to dwóch inżynierów niezadowolonych z braku premii zmieniło kod strategii handlowych, co spowodowało straty w wysokości 1,4 miliona dolarów. Zostało to ujawnione latem ubiegłego roku podczas procesu oskarżonych.
Kontekst nieuczciwego dostępu do połączeń API Kronos Research nie został ujawniony. Niemniej jednak jest to okazja, aby przypomnieć sobie, jak ważne jest zachowanie czujności w zakresie autoryzacji, których udzielamy takim połączeniom między kilkoma platformami.
