Crypto.com confirma un hack de USD 34 millones causado por un exploit de omisión de 2FA

El intercambio de criptomonedas con sede en Singapur, Crypto.com, confirmó que su autenticación de dos factores (2FA) fue explotada por personas no autorizadas para extraer $ 34 millones (alrededor de £ 25 millones) de las cuentas de los usuarios esta semana.

El intercambio dijo que 483 de sus clientes estuvieron involucrados en el ataque que vio a los atacantes eludir los controles 2FA y realizar retiros no autorizados de 4836,26 tokens Ethereum, por un valor de alrededor de $ 14 millones o £ 10,3 millones.

En el ataque también se robaron tokens de Bitcoin con un valor de alrededor de $ 17,3 millones o £ 12,75 millones, y aproximadamente $ 66,200 (£ 48,786) en otras criptomonedas. Los precios son correctos al momento de escribir.

Los detalles sobre la explotación de 2FA no están claros actualmente, pero Crypto.com desde entonces "migró a una infraestructura 2FA completamente nueva" y revocó los tokens 2FA para todos los usuarios globales para que esto se aplique.

Crypto.com también implementó una capa adicional de seguridad que implica un retraso de 24 horas entre el registro de las direcciones de retiro en la lista blanca y el primer retiro a esa dirección. Permitirá a los usuarios filtrar estas direcciones a medida que se registran a través de notificaciones que les envía el intercambio y "les dará el tiempo adecuado para reaccionar y responder", dijo el intercambio.

Además de la revisión de 2FA, Crypto.com también se ha comprometido con equipos de seguridad de terceros para examinar la seguridad de su nuevo sistema y también planea eventualmente hacer la transición a un modelo de autenticación multifactor (MFA).

"No tenemos los detalles sobre cómo evolucionó el hackeo de Crypto.com, pero parece que la política que controla 2FA fue explotada de alguna manera, desactivándola para ciertos usuarios", dijo Robert Byrne, estratega de campo de One Identity, hablando con Profesional de TI .

"Hay varias formas en que la piratería puede eludir los servicios 2FA, pero la explicación más probable aquí es que comprometieron y explotaron una cuenta de usuario privilegiada:los piratas informáticos luego usan esa cuenta para desactivar la política 2FA para algunos usuarios y, habiendo comprometido esos cuentas en las que luego pueden iniciar sesión y robar los fondos.

"Es probable que el servicio 2FA aquí sea ofrecido por un servicio de terceros, por lo que la infraestructura del proveedor bien podría haber sido uno de los objetivos del ataque", agregó Byrne. "Por supuesto, es posible que haya habido un error administrativo honesto en la configuración de seguridad que fue detectado por los ladrones, quienes luego se apresuraron a explotarlo antes de que fuera remediado. Lamentablemente, las configuraciones incorrectas no son infrecuentes debido a la presión sobre el personal de seguridad y el falta de controles de cordura y vigilancia de los ajustes de configuración".

El intercambio ahora ha introducido un Programa de protección de cuentas (APP) en todo el mundo, que reembolsará a los usuarios calificados hasta $ 250,000 en los casos en que los actores no autorizados vacíen sus cuentas. Para calificar, los usuarios deben habilitar MFA en todos los tipos de transacciones, configurar un código antiphishing, no usar dispositivos con jailbreak, presentar un informe policial y completar un cuestionario para respaldar una investigación forense.

La historia más amplia

Los usuarios de Crypto.com comenzaron a informar retiros no autorizados de sus cuentas el lunes, según un tuit del intercambio que aseguró que "todos los fondos están seguros". El director ejecutivo de la bolsa se hizo eco del sentimiento en un tuit de seguimiento publicado el martes que confirma que no se perdieron los fondos de los clientes, que el tiempo de inactividad de la infraestructura fue de alrededor de 14 horas y que la infraestructura se "reforzó" después del incidente.

Mientras tanto, la empresa de seguridad y análisis de datos de blockchain PeckShield tuiteó que Exchange había perdido $ 15 millones (£ 11 millones) y que Ethereum robado estaba siendo "lavado" usando Tornado Cash, un servicio de mezcla y volteo de criptomonedas, el equivalente al lavado de dinero de criptomonedas.

Después de que se publicó la actualización oficial el jueves, los clientes afectados seguían informando que no se les había reembolsado y otros dijeron que aún no podían acceder a su cuenta.

¿Qué es Crypto.com?

El intercambio de criptomonedas con sede en Singapur se fundó en 2016, luego se conocía como 'Mónaco' antes de cambiar su nombre a Crypto.com en 2018. La compañía tiene vínculos de patrocinio con varios equipos deportivos de alto perfil, incluidos Paris St-Germain, los 76ers de Filadelfia. , la liga de fútbol de la Serie A italiana, la Fórmula 1 y el Ultimate Fighting Championship (UFC).

También compró los derechos de denominación del Staples Center Arena en 2021, ubicado en Los Ángeles, por 700 millones de dólares (516,3 millones de libras esterlinas) con una duración de los derechos de 20 años.

La empresa es una gran defensora de Web3 y se apresuró a capitalizar la reciente popularidad de los tokens no fungibles (NFT), agregando un mercado dedicado para el activo a su oferta.

La empresa tiene 10 millones de usuarios en 90 países y emplea a 3000 empleados para administrar el negocio.