L’échange de crypto-monnaie basé à Singapour Crypto.com a admis que les pirates avaient volé pour 34,65 millions de dollars de crypto-monnaie après avoir contourné son système d’authentification à deux facteurs (2FA). Selon la déclaration de la société publiée en ligne, au moins 483 comptes d’utilisateurs ont été affectés par le piratage de contournement 2FA Crypto.com.
La quatrième plus grande plate-forme mondiale d’échange de crypto-monnaie a indiqué que l’incident avait permis des retraits non autorisés de 4 836,26 jetons Ethereum d’une valeur d’environ 15 millions de dollars et de 443,93 jetons bitcoin d’une valeur d’environ 17,3 millions de dollars. Crypto.com a également perdu des actifs numériques d’une valeur d’environ 66 200 $ dans d’autres crypto-monnaies.
Les victimes de piratage de Crypto.com remboursées après le refus initial de l’entreprise
Le contournement 2FA de Crypto.com a conduit à l’introduction du programme mondial de protection des comptes (WAPP) de la société qui rembourserait les «utilisateurs éligibles» sur «certains marchés» jusqu’à 250 000 $ après des retraits non autorisés.
Pour être éligibles, les utilisateurs doivent activer l’authentification multifacteur (MFA) pour toutes les transactions, créer un code anti-hameçonnage, éviter d’utiliser des appareils jailbreakés, remplir un questionnaire médico-légal pour faciliter les enquêtes médico-légales et déposer un rapport de police.
La plate-forme d’échange de crypto-monnaie avait précédemment nié le braquage, assurant ses clients que « tous les fonds sont en sécurité » après que plusieurs utilisateurs se sont plaints de fonds manquants. Kris Marszalek, PDG de Crypto.com réitéré qu' »aucun fonds client n’a été perdu » mais a reconnu un temps d’arrêt de 14 heures. Il a également assuré aux utilisateurs que son équipe « a renforcé l’infrastructure en réponse à l’incident ».
Cependant, la société de sécurité blockchain PeckShield a fait sauter le couvercle du piratage Crypto.com, indiquant que la plateforme d’échange a perdu environ 15 millions de dollars. De plus, PeckShield a déclaré que les pirates blanchissaient des Ethereum volés via le service de mixage Tornado Cash.
Le PDG de Crypto.com a par la suite reconnu le piratage de Crypto.com lors d’une interview à Bloomberg TV, ajoutant que les victimes avaient été entièrement remboursées. Cependant, certaines victimes de piratage de Crypto.com s’est plaint qu’ils n’avaient pas encore reçu leurs remboursements après l’annonce officielle.
Marszalek a également minimisé les pertes en disant que « ces matériaux ne sont pas particulièrement importants » et que « les fonds des clients n’ont jamais été menacés ».
Crypto.com migre vers une nouvelle infrastructure d’authentification après l’incident de contournement 2FA
Le contournement 2FA a incité l’échange de crypto-monnaie à migrer vers une nouvelle infrastructure 2FA. De plus, Crypto.com a révoqué tous les jetons 2FA pour que les utilisateurs mondiaux effectuent les nouvelles modifications et a introduit un délai de 24 heures entre l’enregistrement des adresses de retrait sur liste blanche et la première transaction.
Selon l’entreprise, le retard donnerait aux utilisateurs « un temps suffisant pour réagir et répondre » et filtrer les adresses après avoir reçu des notifications.
Robert Byrne, un stratège de terrain chez One Identity, a déclaré à IT Pro : « Nous n’avons pas de détails sur l’évolution du piratage de Crypto.com, mais il semble que la politique contrôlant 2FA ait été exploitée d’une manière ou d’une autre, la désactivant pour certains utilisateurs. ”
Cependant, Byrne a suggéré que les pirates ont contourné les services 2FA après avoir compromis un compte privilégié qu’ils ont ensuite utilisé pour modifier la politique 2FA des autres utilisateurs. Il a également suggéré que le fournisseur tiers 2FA était probablement parmi les cibles de l’attaque. De même, l’incident de contournement 2FA était un oubli potentiel de la configuration de la sécurité administrative, selon Byrne.
Le piratage de Crypto.com a également incité l’échange à engager des experts en sécurité tiers pour examiner la nouvelle infrastructure 2FA avant de passer finalement à un véritable service d’authentification multifacteur (MFA). Les parties externes conduiraient également des « services de renseignement sur les menaces » supplémentaires.
« En 2022, l’environnement technique a évolué pour devenir : » Je vole les échanges de crypto-monnaie parce que c’est là que se trouve l’argent « , a déclaré Neil Jones, évangéliste de la cybersécurité chez Egnyte. « Je suis en fait plus surpris par le nombre d’utilisateurs qui se sont fait voler leur argent, près de 500 selon les rapports publiés, plutôt que par les 30 millions de dollars et plus qui ont été volés. »