وب سایت کریپتو دات کام (Crypto.com) جزئیات نقص امنیتی را که اخیراً اتفاق افتاده است را به اشتراک گذاشت. طبق اخبار منتشرشده ۴۸۳ حساب کاربری با خطر روبرو شدهاند. روز دوشنبه به دنبال یک باگ امنیتی، تقریباً ۳۳.۸ میلیون دلار، ارز دیجیتال از صرافی کریپتو دات کام به سرقت رفت.
این صرافی ارزهای دیجیتال که در سنگاپور مستقر است. با بیانیهای رسمی پس از متوقف کردن برداشتها، از شناسایی «فعالیتهای مشکوک» در حساب برخی از کاربران خود خبر داد.
این شرکت در این بیانیه فاش کرد که هکرها هم ارزدیجیتال و هم دلار سرقت کردند. معادل ۴,۸۳۶.۲۶ اتریوم، ۴۴۳.۹۳ بیت کوین و در حدود ۶۶,۲۰۰ دلار آمریکا از حسابهای کاربران سرقت کردند. با توجه به قیمتهای فعلی بازار، زیان کلی حدود ۳۳.۸ میلیون دلار برآورد شده است.
به دنبال این نفوذ، چندین کاربر کریپتو دات کام شکایتهایی مبنی بر دزدیده شدن پول خود داشتهاند. با این وجود، پاسخهای این شرکت برای کاربران قانعکننده نبوده است.
روز دوشنبه سیستمهای نظارت بر ریسک کریپتو دات کام، اعلام کردند. که فعالیتهایی غیرمجاز در تعدادی معدود از حسابهای کاربری مشاهده شده است. که بدون کنترل احراز هویت دو مرحلهای (2FA) برای آنها امکان انجام تراکنش فراهم شده است.
کمی بعد این صرافی با متوقف کردن برداشتها و لغو تمام توکنهای 2FA مشتریان، تدابیر سخت گیرانه امنیتی خود را فعال کرد که در این تدابیر همه کاربران را مجبور میکرد تا دوباره وارد سیستم شده و توکن 2FA خود را مجدداً فعال نمایند. خدمات زیرساختی برداشت در این صرافی در مجموع ۱۴ ساعت متوقف شده بود.
افزودن لایه حفاظتی جدید
بنابر ادعای کریپتو دات کام این صرافی جهت جلوگیری از تکرار چنین حادثه ای، یک لایه حفاظتی جدید به سیستم امنیتی خود اضافه کرده است که کاربران را ملزم میدارد آدرسهای برداشت جدید خود را ۲۴ ساعت قبل از اولین برداشت، در یک فهرست امن ثبت کنند.
در بیانیه کریپتو دات کام آمده است:
به محض اضافه شدن آدرسهای برداشت جدید، کاربران اعلانهایی دریافت میکنند تا زمان کافی برای بررسی و واکنش به آن داشته باشند.
بدیهی است اتفاق پیش آمده درسی بزرگ برای ما خواهد بود و ما تلاش میکنیم، بهطور بی وقفه زیرساختهای خود را تقویت نماییم.
شرکت امنیتی پک شیلد (PeckShield) اعلام کرده که، بیش از ۱۵ میلیون دلار اتریوم به سرقت رفته است. روز دوشنبه، این شرکت امنیتی در توییتی عنوان کرد که تقریباً نیمی از وجوه سرقت شده جهت پول شویی به تورنادو کش (Tornado Cash)، نرمافزار انتقال ناشناس اتریوم، ارسال شده اند. تحلیلگر دیگری از شرکت بلاک چینی اُایکس تی ریسرچ (OXT Research) نیز اظهار داشت که عملیات نفوذ و سرقت ممکن است ۳۳ میلیون دلار برای این صرافی هزینه در پی داشته باشد.