Crypto.com hat bestätigt, dass der 34-Millionen-Dollar-Hack den 2FA-Bypass ausnutzen soll
Die Kryptowährungsbörse hat zuvor bestritten, dass ein Kunde trotz zahlreicher Berichte von Kunden und Analysten Geld verloren hat.
Foto: Rodnae Productions von Pexels
Die in Singapur ansässige Kryptowährungsbörse Crypto.com bestätigte, dass ihre Zwei-Faktor-Authentifizierung (2FA) von Unbefugten ausgenutzt wurde, um diese Woche 34 Millionen US-Dollar von Benutzerkonten zu erpressen.
Der Austausch SAGT 483 seiner Kunden waren an dem Hack beteiligt, bei dem Angreifer die 2FA-Kontrollen umgingen und unbefugte Abhebungen von 4.836,26 Ethereum-Token im Wert von etwa 14 Millionen US-Dollar vornahmen.
Bei dem Angriff wurden auch Bitcoin-Token im Wert von etwa 17,3 Millionen US-Dollar und geschätzte 66.200 US-Dollar in anderen Kryptowährungen gestohlen (Preise zum Zeitpunkt des Schreibens korrekt).
Details zur Nutzung von 2FA sind derzeit unklar, aber Crypto.com ist seitdem „auf eine völlig neue 2FA-Infrastruktur migriert“ und hat 2FA-Token für alle globalen Benutzer widerrufen, um dies zu tun.
Crypto.com implementiert auch eine zusätzliche Sicherheitsebene, die eine Verzögerung von 24 Stunden zwischen der Registrierung von Auszahlungsadressen auf der weißen Liste und der anfänglichen Auszahlung dieser Adresse beinhaltet. Es ermöglicht Benutzern, diese Adressen zu überprüfen, wenn sie durch Benachrichtigungen registriert sind, die ihnen über die Börse gesendet werden, und „ihnen ausreichend Zeit zu geben, zu antworten und zu antworten“, sagte die Börse.
Zusätzlich zur 2FA-Überholung arbeitet Crypto.com auch mit Sicherheitsunternehmen von Drittanbietern zusammen, um die Sicherheit seines neuen Systems zu überprüfen, und plant außerdem, schließlich zu einem Multi-Faktor-Authentifizierungsmodell (MFA) überzugehen.
Die Börse führt jetzt ein weltweites Kontoschutzprogramm (APP) ein, das berechtigten Benutzern bis zu 250.000 US-Dollar zahlt, wenn nicht autorisierte Akteure ihre Konten verschwenden. Um sich zu qualifizieren, müssen Benutzer in der Lage sein, MFA für alle Transaktionstypen durchzuführen, einen Anti-Phishing-Code einzugeben, keine Geräte mit Jailbreak zu verwenden, einen Polizeibericht einzureichen und eine Abfrage zur Unterstützung einer forensischen Untersuchung durchzuführen.
Benutzer von Crypto.com begannen laut a. am Montag damit, nicht autorisierte Abhebungen von ihren Konten zu melden Twittern von der Börse, die versichert, dass „alle Gelder sicher sind“. Die Stimmung wurde vom CEO im Austausch bei einem Follow-up wiederholt Der Tweet wurde am Dienstag gepostet bestätigte, dass keine Kundengelder verloren gingen, dass die Ausfallzeit der Infrastruktur etwa 14 Stunden betrug, und sagte, dass die Infrastruktur nach dem Vorfall „gehärtet“ sei.
In der Zwischenzeit twitterte das Blockchain-Sicherheits- und Datenanalyseunternehmen PeckShield, dass Exchange 15 Millionen US-Dollar verloren und Ethereum gestohlen habe, das mit Tornado Cash, einem Kryptowährungs-Tumbling- und Mixer-Service, „ausgewaschen“ wurde – das Äquivalent zur Geldwäsche von Kryptowährungen.
Nachdem am Donnerstag das offizielle Update veröffentlicht wurde, melden sich betroffene Kunden immer noch sie werden nicht bezahlt und andere sagten, sie seien still kann nicht auf ihr Konto zugreifen.
Was ist Crypto.com?
Die in Singapur ansässige Kryptowährungsbörse wurde 2016 gegründet und war früher unter dem Namen „Monaco“ bekannt, bevor sie 2018 von Crypto.com umbenannt wurde. Das Unternehmen unterhält Sponsoring-Beziehungen mit mehreren hochkarätigen Sportmannschaften, darunter Paris St-Germain, die Philadelphia 76ers, die Italienische Fußballliga Serie A, Formel 1 und die Ultimate Fighting Championship (UFC).
Es kaufte auch die Namensrechte für die Staples Center-Arena im Jahr 2021 in Los Angeles für angeblich 700 Millionen US-Dollar mit Rechten, die 20 Jahre lang gelten.
Das Unternehmen war ein wichtiger Förderer von Web3 und nutzte schnell die jüngste Popularität von nicht fungiblen Token (NFTs), indem es seinem Angebot einen eigenen Markt für den Vermögenswert hinzufügte.
Das Unternehmen hat 10 Millionen Benutzer in 90 Ländern und beschäftigt 3.000 Mitarbeiter in der Unternehmensführung.
© Dennis Publishing