Crypto.com-ийн хакерт долоо хоног ч болоогүй байгаа бөгөөд сансарт хөрөнгө оруулагчдын оюун санаанд маш шинэлэг хэвээр байна. Богино хэмжээний халдлагын үеэр хакерууд платформ дээрх хэрэглэгчдийн дансны зарим хэсэгт нэвтэрч, мөнгийг нь хулгайлж чадсан байна.
Энэ тайланд бид криптовалютын аюулгүй байдлын чиглэлээр ажилладаг хэд хэдэн мэргэжилтнүүдээс хакердсан болон үүнд юу хүргэсэн талаар тэдний бодол санааг асууж байна. Эдгээр мэргэжилтнүүд халдлагын талаар ойлголт өгөхөөс гадна хэрэглэгчдийн аюулгүй байдал, хяналттай холбоотой төвлөрсөн бус биржид хэрхэн тусгалаа олдог талаар мэдээлэл өгдөг.
Crypto.com 2FA зөрчсөн
Crypto.com-ын хакерууд сайт дээрх 2FA аюулгүй байдлын арга хэмжээг давж гарах замаар нэвтэрсэн нь одоо мэдэгдэж байгаа баримт юм. Гэсэн хэдий ч халдагчид үүнийг хэрхэн хийж чадсан нь нууц хэвээр байна. Бирж өөрөө эдгээр хакеруудын хэрэгжүүлсэн механизмын талаар яриагүй тул бид үүнийг хэрхэн боломжтой болохыг тодруулахын тулд орон зайн мэргэжилтнүүдэд хандсан.
Ухаалаг гэрээний кодын аудитад гол анхаарлаа хандуулдаг блокчейн аюулгүй байдлын HashEx компанийн үүсгэн байгуулагч, ерөнхий захирал Глеб Зыков хакерууд системд хэрхэн нэвтэрч болох талаар Bitcoinist-тэй хуваалцжээ.
Холбоотой Унших | Та одоо энэхүү Финтекийн ачаар биткойны хөрөнгөө барьцаалан моргейжийн зээл авах боломжтой
2FA нэвтрэлт танилт нь хэрэглэгч нэвтэрч ороход тухайн сайт дээр үүсгэсэн нууц үгтэй таарч, нэг удаагийн нууц үг үүсгэх хамгаалалтын арга хэмжээ юм. 2FA програмууд нь ихэвчлэн хэрэглэгчийн утсан дээр байдаг тул зөвхөн тэд энэ код руу хандах эрхтэй. Тэгвэл бид хакерууд яаж нэвтэрч чадаж байна аа?
Зыков энэ арга хэмжээг тойрч гарах нэг арга бол троян ашиглах явдал гэж тайлбарлав. Үндсэндээ халдагчид троян ашиглан хэрэглэгчдийн төхөөрөмжид халддаг бөгөөд энэ нь хэрэглэгчийн итгэмжлэлийг таслан зогсоох болно. Дараа нь хакер таслагдсан кодыг ашиглан хэрэглэгчийн бүртгэл рүү нэвтэрч, данс руугаа нэвтрэх боломжтой болно.
"2FA нь бас эмзэг байж болно. Хэрэглэгчийн төхөөрөмжид троян халдаж болно. Троян нь хэрэглэгчийн итгэмжлэл болон вэб сайт дээр үүсгэсэн нэг удаагийн нууц үгийг таслан зогсоож чадна. Дараа нь энэ нь хакерт хэрэглэгчийн бүртгэл рүү нэвтрэх эсвэл хэрэглэгчийн сайттай харилцах харилцааг хянах боломжийг олгоно.
Энэ нь биржийн хэтэвчээс ялгаатай нь хувь хүний дансанд халдсан гэсэн үг бөгөөд энэ нь ихэвчлэн тохиолддог. Үүний дараа бирж нь хэрэглэгчдээс 2FA-аа дахин тохируулж, данс руугаа нэвтрэхийг хүссэн.
CRO арилжаа $0.472 | Эх сурвалж: TradingView.com дээрх CROUSD
Fringe Finance-ийн ерөнхий захирал Брайан Пасфилд мөн халдлагад чухал нөлөө үзүүлсэн. Пансфилд халдагчид Crypto.com-ын аюулгүй байдлын системд эмзэг байдлыг олсон байх магадлалтай гэж тайлбарлав. "Энэ нь биржийн 2FA програм хангамжаар үүсгэсэн дансуудыг сэргээхэд шаардлагатай шифрлэгдсэн нөөц хуулбар байж болно" гэж CTO тэмдэглэв. Энэ нь тэдэнд бирж дээрх хэрэглэгчдийн данснаас мөнгө хулгайлах боломжийг олгох байсан.
Холбоотой Унших | Bitcoin болон Ethereum нийтдээ 500 сая доллараас дээш сөрөг урсгалтай тул баавгай илүү их цус авахад бэлэн үү?
Халдлага болсон цаг хугацааны хувьд хакерууд хэр их хохирол амссан нь тодорхойгүй хэвээр байна. Wealthier Today-ийн энэхүү тайланд PeckShield-ийн тайланд дурдсанаар ойролцоогоор 15 сая доллар ETH хулгайлагдсан гэж мэдэгджээ. Бусад нь хамаагүй өндөр байсан гэж таамаглаж байсан.
ЭргоБТЦ хэмээх нууц нэртэй судлаач илгээгдсэн Нэмэлт 444 BTC хакердахад алдагдсан гэж мэдэгдэж байсан бөгөөд нийт алдагдлыг ойролцоогоор 33 сая долларт хүргэсэн. Crypto.com пүрэв гарагт хийсэн мэдэгдэлдээ энэ тоо баримтыг баталж, хакерууд үнэхээр 4K ETH, 443.93 BTC болон бусад мөнгөн тэмдэгтээр 66 мянга орчим ам.доллар олсон гэж мэдэгдэв.
The360Report-ийн онцолсон зураг, TradingView.com-ын график
Эх сурвалж: https://bitcoinist.com/what-went-wrong-in-crypto-com-cro-hack/