Το hack του Crypto.com είναι λιγότερο από μία εβδομάδα και είναι ακόμα πολύ φρέσκο στο μυαλό των επενδυτών στο χώρο. Σε μια σύντομη επίθεση, οι χάκερ μπόρεσαν να έχουν πρόσβαση σε ένα μέρος των λογαριασμών των χρηστών στην πλατφόρμα και να κλέψουν τα χρήματά τους.
Σε αυτήν την αναφορά, ρωτάμε μερικούς ειδικούς στον χώρο ασφάλειας κρυπτογράφησης τις σκέψεις τους σχετικά με το hack και τι θα μπορούσε να είχε οδηγήσει σε αυτό. Αυτοί οι ειδικοί παρέχουν πληροφορίες για την επίθεση, καθώς και για το πώς αυτό αντικατοπτρίζεται στις αποκεντρωμένες ανταλλαγές όσον αφορά την ασφάλεια και τον έλεγχο εκ μέρους των χρηστών.
Παραβίαση Crypto.com 2FA
Είναι πλέον ευρέως γνωστό ότι οι χάκερ του Crypto.com μπήκαν μέσα καταφέρνοντας με κάποιο τρόπο να παρακάμψουν τα μέτρα ασφαλείας 2FA στον ιστότοπο. Ωστόσο, αυτό που παραμένει μυστήριο είναι πώς οι επιτιθέμενοι κατάφεραν να το κάνουν αυτό. Η ίδια η ανταλλαγή δεν έχει μιλήσει για τον μηχανισμό που εφαρμόζουν αυτοί οι χάκερ, επομένως απευθυνθήκαμε σε ειδικούς στον χώρο για να ρίξουμε φως στο πώς αυτό ήταν δυνατό.
Ο Gleb Zykov, ο συνιδρυτής και CTO της HashEx, μιας εταιρείας ασφάλειας blockchain που επικεντρώνεται στον έλεγχο κώδικα έξυπνων συμβολαίων, μοιράστηκε με τον Bitcoinist πώς οι χάκερ θα μπορούσαν να έχουν εισχωρήσει στο σύστημα.
Σχετική ανάγνωση | Τώρα μπορείτε να αξιοποιήσετε τις συμμετοχές σας σε Bitcoin για να αποκτήσετε υποθήκη χάρη σε αυτό το FinTech
Ο έλεγχος ταυτότητας 2FA είναι ένα μέτρο ασφαλείας που ενεργοποιείται όταν ένας χρήστης συνδέεται, δημιουργώντας έναν κωδικό πρόσβασης μίας χρήσης που ταιριάζει με αυτόν που δημιουργήθηκε στον ιστότοπο. Οι εφαρμογές 2FA είναι συνήθως στο τηλέφωνο του χρήστη, επομένως μόνο αυτοί έχουν πρόσβαση σε αυτόν τον κωδικό. Τότε πώς μπορούμε να μπουν οι χάκερ;
Ο Zykov εξηγεί ότι ένας από τους τρόπους παράκαμψης αυτού του μέτρου ήταν η χρήση ενός trojan. Βασικά, οι εισβολείς παραβιάζουν τις συσκευές των χρηστών με ένα trojan που στη συνέχεια θα υποκλέψει τα διαπιστευτήρια του χρήστη. Ο χάκερ μπορεί στη συνέχεια να αποκτήσει πρόσβαση στον λογαριασμό του χρήστη χρησιμοποιώντας τον υποκλαπόμενο κωδικό για να συνδεθεί στον λογαριασμό του.
«Το 2FA μπορεί επίσης να είναι ευάλωτο. Η συσκευή του χρήστη μπορεί να παραβιαστεί με ένα trojan. Ο trojan μπορεί να υποκλέψει τα διαπιστευτήρια του χρήστη και τον κωδικό πρόσβασης μιας χρήσης που δημιουργείται στον ιστότοπο. Στη συνέχεια, μπορεί να επιτρέψει σε έναν χάκερ να συνδεθεί στον λογαριασμό του χρήστη ή να παρακολουθεί την επικοινωνία του χρήστη με τον ιστότοπο», Gleb Zykov, Co-Founder & CTO, HashEx.
Αυτό θα σήμαινε ότι οι λογαριασμοί των μεμονωμένων χρηστών παραβιάστηκαν σε αντίθεση με το ίδιο το πορτοφόλι της ανταλλαγής, κάτι που συνήθως συμβαίνει. Η ανταλλαγή ζήτησε από τους χρήστες να επαναφέρουν το 2FA τους και να συνδεθούν ξανά στους λογαριασμούς τους.
CRO διαπραγμάτευση στα 0.472 $ | Πηγή: CROUSD στο TradingView.com
Ο Μπράιαν Πάσφιλντ, CTO της Fringe Finance στάθηκε επίσης στην επίθεση. Ο Pansfield εξηγεί ότι οι επιτιθέμενοι πιθανότατα βρήκαν μια ευπάθεια στο σύστημα ασφαλείας του Crypto.com. «Θα μπορούσαν να είναι ακόμη και τα κρυπτογραφημένα εφεδρικά αντίγραφα που απαιτούνται για την ανάκτηση λογαριασμών που δημιουργήθηκαν από το λογισμικό 2FA του χρηματιστηρίου», σημείωσε ο CTO. Αυτό θα τους επέτρεπε να έχουν πρόσβαση και να κλέβουν χρήματα από λογαριασμούς χρηστών στα χρηματιστήρια.
Σχετική ανάγνωση | Bitcoin και Ethereum Σύνολο πάνω από 500 εκατομμύρια $ σε αρνητικές ροές, είστε έτοιμοι για περισσότερο αίμα;
Όσον αφορά την ώρα της επίθεσης, δεν ήταν ακόμη σαφές πόσο ξέφυγαν οι χάκερ. Αυτή η αναφορά από το Wealthier Today αναφέρει ότι περίπου 15 εκατομμύρια δολάρια σε ETH λέγεται ότι κλάπηκαν, σύμφωνα με μια αναφορά του PeckShield. Άλλοι εικάζουν ότι ήταν πολύ υψηλότερο.
Ψευδώνυμος ερευνητής ErgoBTC δημοσιεύτηκε ότι επιπλέον 444 BTC λέγεται ότι χάθηκαν στο hack, ανεβάζοντας τη συνολική απώλεια σε περίπου 33 εκατομμύρια δολάρια. Το Crypto.com επιβεβαίωσε αυτό το νούμερο σε μια δήλωση την Πέμπτη που ανέφερε ότι οι χάκερ είχαν πράγματι ξεφύγει με πάνω από 4K ETH, 443.93 BTC και περίπου 66K $ σε άλλα νομίσματα.
Επιλεγμένη εικόνα από το The360Report, γράφημα από το TradingView.com
Πηγή: https://bitcoinist.com/what-went-wrong-in-crypto-com-cro-hack/