Crypto.com, el cuarto intercambio de criptomonedas más grande de la industria, finalmente admitió que perdió fondos de los usuarios debido a una reciente brecha de seguridad.
De acuerdo a un entrada en el blog Publicado el jueves, el incidente afectó a un total de 483 usuarios, lo que resultó en retiros no autorizados por un total de 4,836.26 Etéreo, 443.93 Bitcoiny unos $66.200 en otras criptomonedas, o unos $33,84 millones a precios actuales.
El lunes, Crypto.com, con sede en Singapur, anunció que suspendería los retiros después de que «una pequeña cantidad de usuarios experimentó actividad no autorizada en sus cuentas», instando a los clientes a restaurar la autenticación de dos factores (2FA).
La firma de seguridad Peckshield reveló más tarde que el incidente provocó que Crypto.com perdiera al menos 4600 ETH (alrededor de $ 15 millones) en fondos de los usuarios, y le dijo a Decrypt que el alcance del daño fue «mucho peor».
Según Peckshield, la mitad de los fondos robados se enviaron a Tornado Cash, un servicio de mezcla de criptomonedas que permite a los usuarios ofuscar sus transacciones.
Además, el analista de blockchain ErgoBTC dijo que los piratas informáticos lograron salirse con la suya con alrededor de 444 BTC, el número confirmado por Crypto.com en la autopsia de hoy.
Agregando otros 444 BTC a los 4.6k ETH informados anteriormente ayer @cryptocom cortar a tajos.
Todavía no se reconoce la pérdida, a pesar de las grandes salidas de la cartera de custodia de ETH a Tornado Cash y un conocido vidrio BTC (como se detalla a continuación). pic.twitter.com/GalJKM6bi9
A pesar de la letanía de evidencia, Crypto.com inicialmente se negó a reconocer el hackeo, y el CEO de la compañía, Kris Marszalek, dijo que «no se han perdido los fondos de los clientes».
CEO de Crypto.com: «Los números no son particularmente relevantes»
Marszalek apareció en Bloomberg TV el miércoles y finalmente confirmó que alrededor de 400 cuentas de clientes se habían visto comprometidas.
Según él, Crypto.com suspendió rápidamente los retiros después de descubrir que «algunas de las capas de defensa fueron violadas», solucionó el problema y «volvió a estar en línea en aproximadamente 13-14 horas».
Agregó que ese mismo día “se cancelaron todas las cuentas afectadas, por lo que no hubo pérdida de fondos de los clientes”.
Cuando se le preguntó sobre el alcance real de las pérdidas sufridas por el intercambio, Marszalek dijo que «dado el tamaño del negocio, estos números no son particularmente significativos».
La autopsia de la empresa confirmó que el incidente de seguridad ocurrió por problemas con 2FA.
Crypto.com dijo que también renovó y migró a una infraestructura 2FA completamente nueva, con tokens 2FA revocados para todos los usuarios «para garantizar que la nueva infraestructura estuviera en su lugar».
Acabamos de publicar el informe completo sobre el incidente que resume lo que sucedió y cómo lo manejamos. Las 483 cuentas afectadas fueron reembolsadas en su totalidad, es decir, sin pérdida de fondos por parte del cliente.
También estamos lanzando un programa mundial de protección de cuentas de $ 250,000 para cubrir los fondos que tenemos con nosotros. https://t.co/8SHGaaoaCn
El intercambio introdujo una capa adicional de seguridad para agregar un retraso obligatorio de 24 horas entre el registro de una nueva dirección de retiro en la lista blanca y el primer retiro de fondos.
Según la compañía, esto les dará a los usuarios «tiempo suficiente para reaccionar y responder» a las notificaciones de que se han agregado nuevas direcciones de recogida.
Crypto.com también anunció el lanzamiento del Programa mundial de protección de cuentas (WAPP), que está «diseñado para proteger los fondos de los usuarios en los casos en que un tercero obtenga acceso no autorizado a su cuenta y retire fondos sin el permiso del usuario».
WAPP ofrece la posibilidad de restaurar fondos hasta $ 250,000. Sin embargo, viene con varias condiciones para calificar, incluido el requisito de habilitar la autenticación de múltiples factores y establecer un código antiphishing al menos 21 días antes de la transacción no autorizada informada.
Los usuarios también deberán presentar un informe policial y completar un cuestionario para respaldar una investigación forense.
Disclaimer: En Cryptoshitcompra.com no nos hacemos responsables de ninguna inversión de ningún visitante, nosotros simplemente damos información sobre Tokens, juegos NFT y criptomonedas, no recomendamos inversiones
Publicado por 