Crypto.com confirma hack de US$ 34 milhões causado por exploit de bypass 2FA
A exchange de criptomoedas com sede em Cingapura, a Crypto.com, confirmou que sua autenticação de dois fatores (2FA) foi explorada por indivíduos não autorizados para drenar US$ 34 milhões (cerca de £ 25 milhões) de contas de usuários esta semana.
A exchange disse que 483 de seus clientes estavam envolvidos no hack que fez com que os invasores ignorassem os controles 2FA e fizessem retiradas não autorizadas de 4.836,26 tokens Ethereum, no valor de cerca de US$ 14 milhões ou £ 10,3 milhões.
Tokens de Bitcoin no valor de cerca de US$ 17,3 milhões ou £ 12,75 milhões, e aproximadamente US$ 66.200 (£ 48.786) em outras criptomoedas, também foram roubados no ataque. Os preços estão corretos no momento da redação.
Os detalhes sobre a exploração 2FA não são claros, mas a Crypto.com desde então "migrou para uma infraestrutura 2FA completamente nova" e revogou os tokens 2FA para todos os usuários globais para que isso fosse aplicado.
A Crypto.com também implementou uma camada adicional de segurança envolvendo um atraso de 24 horas entre o registro de endereços de retirada na lista de permissões e a primeira retirada para esse endereço. Isso permitirá que os usuários rastreiem esses endereços à medida que são registrados por meio de notificações enviadas a eles pela troca e "dá a eles tempo adequado para reagir e responder", disse a troca.
Além da revisão da 2FA, a Crypto.com também se envolveu com equipamentos de segurança de terceiros para examinar a segurança de seu novo sistema e também planeja fazer a transição para um modelo de autenticação multifator (MFA).
"Não temos detalhes sobre como o hack do Crypto.com evoluiu, mas parece que a política que controla o 2FA foi explorada de alguma forma, desativando-o para certos usuários", disse Robert Byrne, estrategista de campo da One Identity, falando com Profissional de TI .
"Existem várias maneiras pelas quais os hackers podem contornar os serviços 2FA, mas a explicação mais provável aqui é que eles comprometeram e exploraram uma conta de usuário privilegiada - os hackers usam essa conta para desativar a política 2FA para alguns usuários e, tendo comprometido esses contas, eles podem fazer login e roubar os fundos.
“O serviço 2FA aqui provavelmente é oferecido por um serviço de terceiros, de modo que a infraestrutura do fornecedor pode ter sido um dos alvos do ataque”, acrescentou Byrne. "Claro, é possível que tenha havido um erro administrativo honesto na configuração de segurança que foi detectado pelos ladrões, que então correram para explorá-lo antes que fosse corrigido. Infelizmente, configurações incorretas não são incomuns devido à pressão sobre a equipe de segurança e a falta de verificações de sanidade e vigilância das definições de configuração."
A exchange agora introduziu um Programa de Proteção de Conta (APP) em todo o mundo, que reembolsará usuários qualificados em até US$ 250.000 nos casos em que agentes não autorizados drenarem suas contas. Para se qualificar, os usuários devem habilitar a MFA em todos os tipos de transação, configurar um código antiphishing, não usar dispositivos com jailbreak, registrar uma ocorrência policial e preencher um questionário para apoiar uma investigação forense.
A história mais ampla
Os usuários do Crypto.com começaram a relatar saques não autorizados de suas contas na segunda-feira, de acordo com um tweet da exchange que garantiu que "todos os fundos estão seguros". O sentimento foi ecoado pelo CEO da bolsa em um tweet de acompanhamento publicado na terça-feira, confirmando que nenhum fundo de cliente foi perdido, que o tempo de inatividade da infraestrutura foi de cerca de 14 horas e que a infraestrutura "endureceu" após o incidente.
Enquanto isso, a empresa de segurança e análise de dados de blockchain PeckShield twittou que o Exchange havia perdido US $ 15 milhões (£ 11 milhões) e o Ethereum roubado estava sendo "lavado" usando o Tornado Cash, um serviço de mistura e queda de criptomoedas - o equivalente à lavagem de dinheiro de criptomoeda.
Depois que a atualização oficial foi publicada na quinta-feira, os clientes afetados ainda estavam relatando que não haviam sido reembolsados e outros disseram que ainda não conseguiam acessar sua conta.
O que é Crypto.com?
A exchange de criptomoedas com sede em Cingapura foi fundada em 2016, então conhecida como 'Monaco' antes de ser renomeada para Crypto.com em 2018. A empresa tem laços de patrocínio com várias equipes esportivas de alto nível, incluindo Paris St-Germain, Philadelphia 76ers , a liga italiana de futebol da Série A, a Fórmula 1 e o Ultimate Fighting Championship (UFC).
Também comprou os direitos de nomeação da arena Staples Center em 2021, localizada em Los Angeles, por US$ 700 milhões (£ 516,3 milhões), com os direitos com duração de 20 anos.
A empresa é uma grande defensora da Web3 e foi rápida em capitalizar a recente popularidade dos tokens não fungíveis (NFTs), adicionando um mercado dedicado ao ativo à sua oferta.
A empresa tem 10 milhões de usuários em 90 países e emprega 3.000 funcionários para administrar o negócio.
Blockchain
- Por que todo investidor precisa ter startups de criptografia neste verão
- Monaco MCO (criptomoeda)
- O que é um ataque de poeira? Explicação da exploração de criptografia
- Crypto.com Exchange:o guia completo de como negociar
- RookieXBT:The Crypto Trader que transformou $ 35.000 em $ 1,6 milhão em 9 meses
- As 10 maiores rodadas de criptografia de risco para saber em 2021
- Este roubo de criptomoeda de US $ 600 milhões é o maior hack até a data
- CoinSwitch Kuber se torna a maior bolsa de criptografia da Índia, com 10 milhões de usuários
-
Gemini Crypto Platform garante US $ 400 milhões em financiamento de capital, colocando um valor de US $ 7,1 bilhões na empresa
Muitos ou todos os produtos aqui são de nossos parceiros que nos pagam uma comissão. É assim que ganhamos dinheiro. Mas nossa integridade editorial garante que as opiniões de nossos especialistas não ...
-
Exchange de criptomoedas líquida perde US$ 97 milhões após hack
Após uma invasão de hackers em seus sistemas, a exchange japonesa de criptomoedas Liquid perdeu US$ 97 milhões em ativos criptográficos. Em um tweet, a empresa disse que suas carteiras quentes foram...