Crypto.com mengonfirmasi peretasan $34 juta yang disebabkan oleh eksploitasi bypass 2FA

Pertukaran cryptocurrency yang berbasis di Singapura Crypto.com telah mengkonfirmasi otentikasi dua faktor (2FA) telah dieksploitasi oleh individu yang tidak berwenang untuk menguras $34 juta (sekitar £25 juta) dari akun pengguna minggu ini.

Pertukaran tersebut mengatakan 483 pelanggannya terlibat dalam peretasan yang membuat penyerang melewati kontrol 2FA dan melakukan penarikan tidak sah 4.836,26 token Ethereum, senilai sekitar $14 juta atau £10,3 juta.

Token Bitcoin senilai sekitar $17,3 juta atau £12,75 juta, dan sekitar $66.200 (£48.786) dalam mata uang kripto lainnya, juga dicuri dalam serangan tersebut. Harga sudah benar pada saat penulisan.

Detail seputar eksploitasi 2FA saat ini tidak jelas tetapi Crypto.com sejak itu "bermigrasi ke infrastruktur 2FA yang benar-benar baru" dan mencabut token 2FA untuk semua pengguna global agar ini dapat diterapkan.

Crypto.com juga menerapkan lapisan keamanan tambahan yang melibatkan penundaan 24 jam antara mendaftarkan alamat penarikan yang masuk daftar putih dan penarikan pertama ke alamat itu. Ini akan memungkinkan pengguna untuk menyaring alamat-alamat ini saat mereka terdaftar melalui notifikasi yang dikirim kepada mereka oleh bursa dan "memberi mereka waktu yang cukup untuk bereaksi dan merespons", kata bursa.

Selain perombakan 2FA, Crypto.com juga telah terlibat dengan pakaian keamanan pihak ketiga untuk memeriksa keamanan sistem barunya dan juga berencana untuk beralih ke model autentikasi multi-faktor (MFA).

"Kami tidak memiliki detail tentang bagaimana peretasan Crypto.com berkembang, tetapi tampaknya kebijakan yang mengendalikan 2FA dieksploitasi dalam beberapa cara, menonaktifkannya untuk pengguna tertentu," kata Robert Byrne, ahli strategi lapangan di One Identity, berbicara kepada IT Pro .

"Ada berbagai cara peretasan mungkin dapat menghindari layanan 2FA, tetapi penjelasan yang paling mungkin di sini adalah bahwa mereka mengkompromikan dan mengeksploitasi akun pengguna istimewa - peretas kemudian menggunakan akun itu untuk menonaktifkan kebijakan 2FA untuk beberapa pengguna dan, setelah mengkompromikannya. akun mereka kemudian dapat masuk dan mencuri dana.

"Layanan 2FA di sini kemungkinan ditawarkan oleh layanan pihak ketiga, sehingga infrastruktur pemasok mungkin menjadi salah satu target serangan," tambah Byrne. "Tentu saja, ada kemungkinan ada kesalahan administratif yang jujur ​​dalam konfigurasi keamanan yang terdeteksi oleh pencuri, yang kemudian bergegas untuk mengeksploitasinya sebelum diperbaiki. Sayangnya, kesalahan konfigurasi tidak jarang terjadi karena tekanan pada staf keamanan dan staf keamanan. kurangnya pemeriksaan kewarasan dan pengawasan pengaturan konfigurasi."

Pertukaran sekarang telah memperkenalkan Program Perlindungan Akun (APP) di seluruh dunia, yang akan mengganti uang pengguna yang memenuhi syarat hingga $250.000 jika pelaku yang tidak sah menguras akun mereka. Agar memenuhi syarat, pengguna harus mengaktifkan MFA pada semua jenis transaksi, menyiapkan kode anti-phishing, tidak menggunakan perangkat yang di-jailbreak, mengajukan laporan polisi, dan melengkapi kuesioner untuk mendukung penyelidikan forensik.

Cerita yang lebih luas

Pengguna Crypto.com pertama kali mulai melaporkan penarikan tidak sah dari akun mereka pada hari Senin, menurut Tweet dari pertukaran yang meyakinkan "semua dana aman". Sentimen tersebut digaungkan oleh CEO bursa dalam Tweet tindak lanjut yang diposting pada hari Selasa yang mengkonfirmasikan tidak ada dana pelanggan yang hilang, bahwa waktu henti infrastruktur sekitar 14 jam, dan mengatakan infrastruktur "mengeras" setelah insiden tersebut.

Sementara itu, perusahaan keamanan blockchain dan analitik data PeckShield mentweet bahwa Exchange telah kehilangan $15 juta (£11 juta) dan Ethereum yang dicuri sedang "dicuci" menggunakan Tornado Cash, layanan penghancur dan pengaduk cryptocurrency - setara dengan pencucian uang cryptocurrency.

Setelah pembaruan resmi diterbitkan pada hari Kamis, pelanggan yang terkena dampak masih melaporkan bahwa mereka belum menerima penggantian biaya dan yang lain mengatakan bahwa mereka masih tidak dapat mengakses akun mereka.

Apa itu Crypto.com?

Pertukaran cryptocurrency yang berbasis di Singapura didirikan pada tahun 2016, kemudian dikenal sebagai 'Monaco' sebelum berganti nama menjadi Crypto.com pada tahun 2018. Perusahaan ini memiliki hubungan sponsor dengan sejumlah tim olahraga terkenal termasuk Paris St-Germain, Philadelphia 76ers , liga sepak bola Serie A Italia, Formula 1, dan Ultimate Fighting Championship (UFC).

Itu juga membeli hak penamaan arena Staples Center pada tahun 2021, yang terletak di Los Angeles, dengan harga yang dilaporkan $700 juta (£516,3 juta) dengan hak yang berlaku selama 20 tahun.

Perusahaan ini adalah pendukung besar Web3 dan dengan cepat memanfaatkan popularitas token non-fungible (NFT) baru-baru ini, menambahkan pasar khusus untuk aset tersebut ke dalam penawarannya.

Perusahaan ini memiliki 10 juta pengguna di 90 negara dan mempekerjakan 3.000 staf untuk menjalankan bisnis.