Crypto.com наконец говорит: 483 учетных записи пользователей скомпрометированы

Сага о взломе системы безопасности Crypto.com проясняется благодаря официальному заявлению сингапурской биржи криптовалют после прекращения вывода средств после обнаружения «подозрительных действий» в учетных записях пользователей.

В сегодняшнем заявлении Crypto.com сообщил, что «4 836,26 ETH, 443,93 BTC и примерно 66 200 долларов США в других валютах» были сняты со счетов клиентов без их разрешения. Общий убыток в настоящее время оценивается примерно в 33,8 миллиона долларов по текущей рыночной стоимости.

После нарушения безопасности несколько пользователей Crypto.com пожаловались на кражу их денег. Однако предыдущие ответы компании не смогли развеять опасений.

После инцидента с безопасностью 17 января мы делимся своими выводами ниже, а также улучшениями, которые мы внесли в нашу инфраструктуру безопасности, и введением Всемирной программы защиты учетных записей. https://t.co/6q86r0o59V pic.Twitter.com/ER7DkBoX1Z

— Crypto.com (@Cryptocom) 20 января 2022 г.

17 января 2022 г., около 00:46 по всемирному координированному времени, системы мониторинга рисков Crypto.com обнаружили «несанкционированную активность в отношении небольшого количества учетных записей пользователей», когда транзакции авторизовались без ввода пользователем контроля аутентификации 2FA, согласно к официальному документу.

Обмен продолжился остановкой снятия средств и отзывом всех токенов 2FA клиента, добавив еще больше мер по усилению безопасности, которые требовали от всех повторного входа в систему и повторной активации своего токена 2FA, прежде чем разрешать только авторизованные действия, как подробно описано в заявлении. Инфраструктура вывода не работала в общей сложности 14 часов.

Чтобы предотвратить повторение такой аварии, Crypto.com утверждает, что они внедрили дополнительный уровень защиты, в котором новый адрес для вывода средств из белого списка должен быть зарегистрирован в течение 24 часов до первого вывода средств.

«Пользователи будут получать уведомления о добавлении адресов для вывода средств, чтобы дать им достаточно времени, чтобы среагировать и ответить», — говорится в заявлении.

В среду Крис Марсалек, генеральный директор Crypto.com, сообщил Bloomberg, что биржа не получала никаких сообщений от регулирующих органов об этом событии. Он продолжал говорить это;

«Очевидно, что это отличный урок, и мы постоянно укрепляем нашу инфраструктуру».

По данным PeckShield, было украдено ETH на сумму более 15 миллионов долларов. В понедельник компания по обеспечению безопасности блокчейна написала в Твиттере, что примерно половина средств была отправлена ​​​​в Tornado Cash «для промывки». Другой аналитик из компании по обработке данных о блокчейне OXT Research заявил, что ограбление могло стоить бирже украденных активов в размере 33 миллионов долларов.