FixedFloat – uma bolsa de criptomoedas que opera sem medidas de combate à lavagem de dinheiro (AML) “conheça seu cliente” (KYC) – foi hackeada no início deste mês, resultando na perda de mais de 400 Bitcoin e mais de 1,700 Ethereum, no valor de cerca de US $ 26 milhões.
A empresa de segurança Blockchain BlockFence identificou o endereço Bitcoin utilizado no roubo, e os dados na cadeia de um endereço Ethereum ligado revelaram múltiplas transacções de elevado valor para vários endereços.
De acordo com a empresa de análise de blockchain PeckShield, os fundos roubados foram movimentados através do misturador Ethereum eXch logo após o hack, complicando a rastreabilidade dos activos roubados. Uma pequena parte dos fundos foi transferida para HitBTC e CoinSpot, disse PeckShield, rotulando o endereço da carteira como “FixedFloat drainer”.
PeckShieldAlert FixedFloat foi hackeado, resultando em ~1,728 $ETH (no valor de ~$4.85m) e & 409 $BTC (no valor de ~$21m) roubados. O sacador já transferiu a maior parte do dinheiro roubado $ETH para eXch em Ethereum pic.twitter.com/IZKbCclH8v
– PeckShieldAlert (@PeckShieldAlert) 19 de fevereiro de 2024
A
FixedFloat disse ao TCN que o hack não foi realizado por um dos seus funcionários e que “foi um ataque externo causado por vulnerabilidades na nossa estrutura de segurança”.
“O problema estava na nossa infraestrutura, que estava comprometida devido a falhas e proteção insuficiente”, disse a empresa. “Isto permitiu que os atacantes obtivessem acesso a algumas das funções do nosso serviço”.
Após o hack, a FixedFloat citou inicialmente “pequenos problemas técnicos” e colocou seus sistemas em “modo de manutenção”. Isto foi antes de toda a extensão do hack ser revelada, o que levou à confusão e preocupação entre os utilizadores.
“Não relatamos imediatamente o hack, pois já estávamos cientes do incidente e imediatamente começamos a colocar nosso serviço em modo de manutenção para garantir a segurança e minimizar as perdas”, disse a bolsa ao TCN. “Naquela época, nosso foco principal era eliminar rapidamente os pontos fracos e fortalecer a segurança geral, o que nos impediu de fazer declarações públicas sobre o que aconteceu.”
Em uma declaração subsequente, a FixedFloat garantiu aos clientes que seus fundos estavam seguros, esclarecendo que as perdas financeiras afetaram apenas o serviço em si e não os ativos mantidos pelo usuário. “O FixedFloat não desempenha as funções de um serviço de custódia, ou seja, não armazena os fundos dos utilizadores. Forneceremos mais informações mais tarde”, afirmou a plataforma no Twitter.
No entanto, assim que os relatos do hack começaram a se espalhar pelas redes sociais, a plataforma confirmou o incidente e se abriu sobre o ataque.
“Confirmamos que houve de facto um hack e roubo de fundos”, escreveu a conta oficial do FixedFloat no Twitter numa resposta a um tweet. “Não estamos prontos para fazer comentários públicos sobre este assunto, pois estamos a trabalhar para eliminar todas as vulnerabilidades possíveis, melhorar a segurança e investigar.
“O nosso serviço estará novamente disponível em breve”, continuou.
Olá,
Confirmamos que houve de facto uma pirataria informática e um roubo de fundos. Ainda não estamos preparados para fazer comentários públicos sobre este assunto, uma vez que estamos a trabalhar para eliminar todas as vulnerabilidades possíveis, melhorar a segurança e investigar. O nosso serviço estará novamente disponível em breve.
Iremos…
– FixedFloat⚡️ (@FixedFloat) 18 de fevereiro de 2024
A bolsa garantiu mais tarde que os fundos dos utilizadores permaneciam seguros e que os fundos roubados afectavam apenas as operações internas da empresa. Se assim for, é provável que o hack tenha sido de uma das carteiras quentes da bolsa.
O site oficial da FixedFloat permanece inoperante no momento em que escrevo.
Imagem: FixedFloat
A
FixedFloat, que se anuncia como uma “bolsa de criptomoedas instantânea e totalmente automática com a Lightning Network”, dá prioridade à privacidade em detrimento da segurança, operando sem exigir registo de conta ou verificação de identidade. Esta falta de medidas KYC é apelativa para os utilizadores preocupados com a privacidade, mas apresenta riscos significativos tanto para a plataforma como para os seus utilizadores no caso de um hack, uma vez que os investigadores têm informações limitadas com que trabalhar.
Incidentes como este são menos comuns do que eram. Um relatório recente da empresa forense de blockchain Chainalysis destacou uma diminuição significativa nos fundos roubados de plataformas de criptomoeda em 2023. Apesar de um ligeiro aumento nos incidentes de hacking individuais, o valor total dos fundos roubados caiu aproximadamente 54,3% para US $ 1,7 bilhão, atribuído em grande parte a um declínio acentuado nos hacks DeFi.
A FixedFloat informou que está trabalhando com agências de aplicação da lei, empresas forenses de blockchain e bolsas de criptomoedas para rastrear os hackers, que ainda não entraram em contato com a bolsa. A empresa disse que honrará todas as suas obrigações de pagamento assim que retomar as operações e pode ter certeza de que a troca é mais uma vez segura para uso.
