Plus de détails sont apparus sur le récent piratage de Crypto.com qui a laissé près de 500 clients sans leurs crypto-monnaies durement gagnées.
La société a publié une autopsie sur son site Web indiquant que celui qui était derrière le vol a réussi à retirer des millions de dollars en crypto-monnaie de centaines de comptes, sans entrer dans l'authentification à deux facteurs.
Au total, 483 comptes ont été compromis, avec plus de 31 millions d'euros volés, dont 4,836.26 443.93 ETH, 66,200 BTC et environ XNUMX XNUMX € d'« autres crypto-monnaies » volées.
Atteintes à la sécurité et fraudes
Crypto.com n'a pas fourni plus de détails sur la façon dont il était possible de retirer les jetons sans entrer dans 2FA, et si un terminal a été compromis ou non, mais a dit ce qu'il a fait jusqu'à présent et ce qu'il prévoit de faire à l'avenir. .
Après la découverte de l'incident, la société a d'abord suspendu tous les retraits de la plateforme, remboursé les comptes concernés, révoqué tous les jetons 2FA des clients et ajouté des « mesures supplémentaires de renforcement de la sécurité ».
Désormais, après avoir ajouté une nouvelle adresse de retrait au compte, le propriétaire doit attendre 24 heures pour qu'elle soit approuvée, ce qui donne aux propriétaires légitimes suffisamment de temps pour signaler un problème potentiel.
De plus, Crypto.com a annoncé son intention de passer du 2FA à une « véritable authentification multifacteur », bien qu'il n'ait pas précisé ce que cela signifie ni quand cela pourrait se produire.
En fin de compte, les clients ont dû se reconnecter et configurer à nouveau leurs jetons 2FA.
Il est rare qu'une véritable faille de sécurité se produise sur un échange de crypto-monnaie. Dans la plupart des cas, le vol de crypto-monnaie se produit par fraude, où les propriétaires sont amenés à envoyer leurs jetons ailleurs ou à fournir des informations personnellement identifiables. Ces informations peuvent ensuite être utilisées dans le vol d'identité, permettant aux criminels de retirer facilement des fonds des portefeuilles et des échanges.
Plus récemment, avec l’émergence de la DeFi (Decentralized Finance), une méthode d’arnaque connue sous le nom de « rugpull » a gagné en popularité.
Dans l'explication la plus simple, un pullpull se produit lorsque les propriétaires d'un projet blockchain décident d'extraire toutes les liquidités du projet, réduisant la valeur du jeton qu'ils ont créé à pratiquement zéro.