Crypto.com のハッキングはまだ XNUMX 週間も経っていませんが、この分野の投資家の記憶にはまだ非常に新鮮です。 短時間の攻撃で、ハッカーはプラットフォーム上のユーザーのアカウントの一部にアクセスし、資金を盗むことができました。
このレポートでは、暗号セキュリティ分野の数人の専門家に、このハッキングとその原因となった可能性についての考えを尋ねます。 これらの専門家は、攻撃に関する洞察を提供するだけでなく、ユーザー側のセキュリティと制御に関して、これが分散型取引所にどのように反映されるかについても説明します。
Crypto.com 2FA 侵害
Crypto.com ハッカーが、サイト上の 2FA セキュリティ対策を何らかの方法で回避して侵入したことは、現在では広く知られている事実です。 ただし、攻撃者がどのようにしてこれを実行できたのかは謎のままです。 取引所自体は、これらのハッカーによって実装されたメカニズムについては言及していないため、私たちはこの分野の専門家に、これがどのようにして可能だったのかを明らかにするよう依頼しました。
スマートコントラクトのコード監査に重点を置くブロックチェーンセキュリティ会社HashExの共同創設者兼最高技術責任者(CTO)であるグレブ・ザイコフ氏は、ハッカーがどのようにしてシステムに侵入したのかをBitcoinistに語った。
関連書籍 | このフィンテックのおかげで、保有しているビットコインを活用して住宅ローンを組むことができるようになりました
2FA 認証は、ユーザーがログインするときにトリガーされ、サイトで作成されたものと一致するワンタイム パスワードを作成するセキュリティ対策です。 2FA アプリは通常、ユーザーの携帯電話にあるため、このコードにアクセスできるのはユーザーだけです。 では、ハッカーはどのようにして侵入できるのでしょうか?
Zykov 氏は、この対策を回避する方法の XNUMX つはトロイの木馬を使用することであったと説明しています。 基本的に、攻撃者はトロイの木馬を使ってユーザーのデバイスを侵害し、ユーザーの資格情報を傍受します。 ハッカーは、傍受したコードを使用してユーザーのアカウントにアクセスし、アカウントにログインすることができます。
「2FA も脆弱になる可能性があります。 ユーザーのデバイスがトロイの木馬によって侵害される可能性があります。 このトロイの木馬は、ユーザーの資格情報と Web サイトで生成されたワンタイム パスワードを傍受する可能性があります。 そうすれば、ハッカーがユーザーのアカウントにログインしたり、ユーザーとサイトとの通信を監視したりすることが可能になります」と HashEx の共同創設者兼 CTO である Gleb Zykov 氏は述べています。
これは、通常はそうなる取引所のウォレット自体ではなく、個々のユーザーのアカウントが侵害されたことを意味します。 その後、取引所はユーザーに対し、2FAをリセットしてアカウントに再度ログインするよう求めた。
CROは0.472.XNUMXドルで取引 | 出典: TradingView.comのCROUSD
Fringe Finance の CTO、Brian Pasfield 氏もこの攻撃について意見を述べました。 Pansfield 氏は、攻撃者が Crypto.com のセキュリティ システムの脆弱性を発見した可能性が高いと説明しています。 「取引所の2FAソフトウェアによって作成されたアカウントの回復に必要な暗号化された予備コピーである可能性さえある」とCTOは指摘した。 これにより、取引所のユーザーのアカウントにアクセスして資金を盗むことが可能になったでしょう。
関連書籍 | ビットコインとイーサリアムのマイナスフローは総額500億ドル超、弱気派はさらなる血を求める準備はできているのか?
攻撃の時間に関しては、ハッカーがどれだけの利益を逃したのかはまだ不明です。 Wealthier Todayのこのレポートでは、PeckShieldのレポートによると、約15万ドルのETHが盗まれたと言われていると述べています。 他の人はそれがはるかに高かったと推測しています。
仮名研究者 ErgoBTC 掲示 このハッキングではさらに 444 BTC が失われたと言われており、損失総額は約 33 万ドルに達しました。 Crypto.comは木曜日の声明でこの数字を裏付け、ハッカーが実際に4 ETH、443.93 BTC、その他の通貨で約66ドル以上を盗んだと述べた。
The360Reportからの注目の画像、TradingView.comからのチャート
出典: https://bitcoinist.com/what-went-wrong-in-crypto-com-cro-hack/