在接受彭博电视采访时,Crypto.com的首席执行官Kris Marszalek承认有400个客户账户被黑客入侵。他说,他的团队检测到了从这些账户中进行的未经授权的交易,但他们已经立即修复了这个问题,并完全偿还了受影响的用户。现在,该公司已经发布了一份报告,披露了其事后调查的细节。显然,483个账户受到影响,未经授权的提款总额为4836.26ETH,443.93BTC和大约66200美元的其他货币。根据目前的汇率,这就是1530万美元的ETH和1870万美元的ETC,总损失为3400万美元。
在该公司披露黑客的资金损失范围之前,区块链安全分析公司PeckShield Inc.表示,Crypto.com可能已经损失了价值1500万美元的加密货币。丢失的硬币中至少有4600个是以太坊,据说其中一半被洗掉了--这是一个混淆硬币交易痕迹的过程。同时,比特币研究公司OXT Research表示,该公司的损失可能价值高达3300万美元。
该报告解释说,该公司的风险监控系统几天前检测到未经授权的活动,其中少数账户的交易在没有双因素认证的情况下被批准。因此,该加密货币交易所在1月16日晚暂停了提款。事实上,人们在其Twitter公告的评论中透露,即使他们启用了2FA,他们的资金也被盗了。
在1月17日发布的另一条推文中,Marszalek说,"没有客户的资金损失",公司的基础设施瘫痪了14个小时,他的团队加强了安全以应对发生的事情。该报告对最后一部分进行了阐述,透露Crypto.com撤销了所有客户的2FA代币,并实施了额外的安全措施,要求所有账户用户重新登录。该公司表示此举是必要的,因为它迁移到了一个全新的2FA基础设施。然而,它打算最终摆脱2FA,转向真正的多因素认证(MFA)。
Crypto.com还引入了一项额外的安全措施,要求用户在等待24小时后才能提取到一个新注册的白名单地址。最后,该公司在2月1日推出全球账户保护计划(WAPP),为那些希望为其资金提供额外保护的用户提供保护。
WAPP可以恢复参与用户高达25万美元的资金,以防第三方获得其账户的访问权。也就是说,为了符合该计划的要求,用户必须在所有交易类型上启用多派别认证,并且不使用已越狱的设备。为了能够在该计划下收回资金,他们必须在未经授权的交易前至少21天设置一个反钓鱼代码,提交一份警方报告并向Crypto.com提供一份副本,以及完成一份调查问卷以支持法医调查。