Crypto.com 駭客事件發生不到一周,但對該領域投資者來說仍然記憶猶新。 在一次短暫的攻擊中,駭客能夠存取平台上部分用戶的帳戶並竊取他們的資金。
在本報告中,我們詢問了加密貨幣安全領域的幾位專家對這次駭客攻擊以及可能導致駭客攻擊的原因的看法。 這些專家提供了對攻擊的深入見解,以及在使用者的安全和控制方面這對去中心化交易所的影響。
Crypto.com 2FA 違規
現在眾所周知的事實是,Crypto.com 駭客透過某種方式設法繞過該網站的 2FA 安全措施而進入該網站。 然而,攻擊者如何做到這一點仍然是個謎。 交易所本身並沒有談到這些駭客實施的機制,因此我們向該領域的專家求助,以闡明這是如何實現的。
專注於智慧合約程式碼審計的區塊鏈安全公司 HashEx 的聯合創始人兼首席技術長 Gleb Zykov 與 Bitcoinist 分享了駭客如何進入系統。
相關閱讀 | 借助這項金融科技,您現在可以利用您持有的比特幣獲得抵押貸款
2FA 驗證是一種安全措施,在使用者登入時觸發,建立與網站上建立的密碼相符的一次性密碼。 2FA 應用程式通常位於用戶的手機上,因此只有他們才能存取此代碼。 那麼駭客是如何入侵的呢?
Zykov 解釋說,繞過這項措施的方法之一是使用木馬。 基本上,攻擊者使用特洛伊木馬破壞使用者的設備,然後攔截使用者的憑證。 然後,駭客可以使用截獲的程式碼來存取使用者的帳戶並登入他們的帳戶。
「2FA 也可能很脆弱。 使用者的設備可能會受到木馬的攻擊。 該木馬可以攔截用戶的憑證和網站上產生的一次性密碼。 然後,它可以允許駭客登入使用者的帳戶或監視使用者與網站的通信,」HashEx 聯合創始人兼首席技術長 Gleb Zykov。
這意味著個人用戶的帳戶受到損害,而不是交易所的錢包本身受到損害,這種情況通常是這樣的。 此後,該交易所要求用戶重置 2FA 並重新登入其帳戶。
CRO 交易價格為 0.472 美元 | 資料來源:TradingView.com 上的 CROUSD
Fringe Finance 首席技術長 Brian Pasfield 也參與了這次攻擊。 Pansfield 解釋說,攻擊者很可能發現了 Crypto.com 安全系統中的漏洞。 「它甚至可能是恢復交易所 2FA 軟體創建的帳戶所需的加密保留副本,」首席技術長指出。 這將使他們能夠存取並竊取交易所用戶帳戶中的資金。
相關閱讀 | 比特幣和以太坊的負流量總計超過 500 億美元,空頭準備好更多的血液了嗎?
至於攻擊發生的時間,目前尚不清楚駭客究竟逃走了多少損失。 根據 PeckShield 的報告,Wealthier Today 的這份報告稱,據稱價值約 15 萬美元的 ETH 被盜。 其他人推測這個數字要高得多。
化名研究員 ErgoBTC 發布 據稱,這次駭客攻擊還損失了 444 個 BTC,總損失達約 33 萬美元。 Crypto.com 在周四的聲明中證實了這一數字,稱駭客確實竊取了超過 4K ETH、443.93 BTC 以及約 66 萬美元的其他貨幣。
精選圖片來自 The360Report,圖表來自 TradingView.com
來源:https://bitcoinist.com/what-went-wrong-in-crypto-com-cro-hack/