W wywiadzie dla Bloomberg TV, Crypto.com Dyrektor Generalny Kris Marszalek przyznał, że hakerzy zhakowali 400 kont klientów. Powiedział, że jego zespół wykrył nieautoryzowane transakcje dokonywane z kont,ale natychmiast naprawili problem i w pełni zwrócili dotkniętym użytkownikom. Firma opublikowała raport ujawniający szczegóły z sekcji zwłok. Najwyraźniej, konta 483 zostały naruszone, a nieautoryzowane wypłaty wyniosły 4,836.26 ETH, 443.93 BTC i około $66,200 w innych walutach. W oparciu o Aktualne Kursy wymiany, to jest $ 15.3 mln ETH i $ 18.7 mln ETC w sumie $ 34 mln strat.
Zanim firma ujawniła zakres włamania pod względem utraconych środków, blockchain security analytics firma PeckShield Inc. powiedział Crypto.com może stracił kryptowaluta o wartości $15 milion. Co najmniej 4600 utraconych monet było Ethereum, a połowa z nich jest podobno Prana — proces, który zaciemnia szlak transakcyjny monety. Tymczasem, Bitcoin firma badawcza OXT Research powiedział, że strata firmy może być warta do $33 milion.
Raport wyjaśnił, że systemy monitorowania ryzyka firmy wykryły nieautoryzowane działania kilka dni temu, w których transakcje były zatwierdzane bez uwierzytelniania dwuskładnikowego dla niewielkiej liczby kont. W rezultacie wymiana kryptowalut wstrzymała wypłaty wieczorem 16 stycznia. Rzeczywiście, ludzie w komentarzach na Twitterze ujawnili, że mieli skradzione fundusze, nawet jeśli mieli włączone 2FA.
W innym tweecie opublikowanym 17 stycznia Marszalek powiedział, że” nie utracono funduszy klientów”, Infrastruktura firmy spadła o 14 godzin, a jego zespół wzmocnił bezpieczeństwo w odpowiedzi na to, co się stało. Sprawozdanie wyjaśniło tę ostatnią część, ujawniając, że Crypto.com cofnięto wszystkie tokeny 2FA klienta i wdrożono dodatkowe środki bezpieczeństwa, które wymagały ponownego logowania wszystkich użytkowników konta. Firma powiedziała, że przeprowadzka jest konieczna, ponieważ migrowała do zupełnie nowej infrastruktury 2FA. Jednak zamierza ostatecznie odejść od 2FA i przejść na prawdziwe uwierzytelnianie wieloskładnikowe (MFA).
Crypto.com wprowadził również dodatkowy środek bezpieczeństwa, który wymaga od użytkowników odczekania 24 godzin, zanim będą mogli wycofać się na nowo zarejestrowany adres na białej liście. Wreszcie, firma uruchamia ogólnoświatowy program ochrony kont (WAPP) 1 lutego dla użytkowników, którzy chcą dodatkowej ochrony swoich środków.
WAPP może przywrócić do $250,000 pieniędzy uczestnika w przypadku, gdy strona trzecia uzyska dostęp do ich konta. To powiedziawszy, aby zakwalifikować się do programu, użytkownicy muszą włączyć uwierzytelnianie wielopłaszczyznowe we wszystkich typach transakcji i nie używać urządzenia jailbroken. Aby móc odzyskać swoje środki w ramach programu, muszą skonfigurować kod antyphishingowy co najmniej 21 dni przed nieautoryzowaną transakcją, złożyć raport policyjny i dostarczyć Crypto.com kopię, a także wypełnić kwestionariusz, aby wesprzeć dochodzenie sądowe.
Wszystkie produkty polecane przez Engadget są wybierane przez nasz zespół redakcyjny, niezależnie od naszej firmy macierzystej. Niektóre z naszych historii zawierają linki partnerskie. Jeśli kupisz coś za pośrednictwem jednego z tych linków, możemy zarobić prowizję partnerską.
