Crypto.com bestätigt einen 34-Millionen-Dollar-Hack, der durch einen 2FA-Bypass-Exploit verursacht wurde

Die in Singapur ansässige Kryptowährungsbörse Crypto.com hat bestätigt, dass ihre Zwei-Faktor-Authentifizierung (2FA) von nicht autorisierten Personen ausgenutzt wurde, um diese Woche 34 Millionen $ (rund 25 Millionen £) von Benutzerkonten abzuziehen.

Die Börse sagte, dass 483 ihrer Kunden an dem Hack beteiligt waren, bei dem Angreifer die 2FA-Kontrollen umgingen und nicht autorisierte Abhebungen von 4.836,26 Ethereum-Token im Wert von rund 14 Millionen $ oder 10,3 Millionen £ vornahmen.

Bei dem Angriff wurden auch Bitcoin-Token im Wert von rund 17,3 Millionen US-Dollar oder 12,75 Millionen Pfund Sterling und etwa 66.200 US-Dollar (48.786 Pfund Sterling) in anderen Kryptowährungen gestohlen. Die Preise sind zum Zeitpunkt des Schreibens korrekt.

Die Details rund um die 2FA-Ausnutzung sind derzeit unklar, aber Crypto.com ist seitdem „zu einer völlig neuen 2FA-Infrastruktur migriert“ und hat die 2FA-Token für alle globalen Benutzer widerrufen, damit dies angewendet werden kann.

Crypto.com hat auch eine zusätzliche Sicherheitsebene implementiert, die eine 24-stündige Verzögerung zwischen der Registrierung von Auszahlungsadressen auf der weißen Liste und der ersten Auszahlung an diese Adresse beinhaltet. Es wird Nutzern ermöglichen, diese Adressen zu überprüfen, wenn sie über Benachrichtigungen registriert sind, die ihnen von der Börse gesendet werden, und ihnen „ausreichend Zeit zu geben, um zu reagieren und zu antworten“, sagte die Börse.

Zusätzlich zur 2FA-Überholung hat Crypto.com auch mit Sicherheitsunternehmen von Drittanbietern zusammengearbeitet, um die Sicherheit seines neuen Systems zu untersuchen, und plant außerdem, schließlich zu einem Multi-Faktor-Authentifizierungsmodell (MFA) überzugehen.

„Wir haben keine Details darüber, wie sich der Crypto.com-Hack entwickelt hat, aber es scheint, dass die Richtlinie, die 2FA steuert, auf irgendeine Weise ausgenutzt wurde und sie für bestimmte Benutzer deaktiviert hat“, sagte Robert Byrne, Feldstratege bei One Identity, im Gespräch mit IT-Profi .

„Es gibt verschiedene Möglichkeiten, wie Hacker 2FA-Dienste umgehen können, aber die wahrscheinlichste Erklärung hier ist, dass sie ein privilegiertes Benutzerkonto kompromittiert und ausgenutzt haben – die Hacker verwenden dann dieses Konto, um die 2FA-Richtlinie für einige Benutzer zu deaktivieren und diese zu kompromittieren Konten können sie sich dann anmelden und das Geld stehlen.

„Der 2FA-Dienst hier wird wahrscheinlich von einem Drittanbieter angeboten, sodass die Infrastruktur des Anbieters möglicherweise eines der Ziele des Angriffs war“, fügte Byrne hinzu. „Natürlich ist es möglich, dass es einen ehrlichen Verwaltungsfehler in der Sicherheitskonfiguration gab, der von den Dieben entdeckt wurde, die dann hereinstürmten, um ihn auszunutzen, bevor er behoben wurde. Leider sind Fehlkonfigurationen aufgrund des Drucks auf das Sicherheitspersonal und die fehlende Plausibilitätsprüfungen und Überwachung der Konfigurationseinstellungen."

Die Börse hat jetzt ein weltweites Kontoschutzprogramm (APP) eingeführt, das qualifizierten Benutzern bis zu 250.000 US-Dollar erstattet, wenn nicht autorisierte Akteure ihre Konten leeren. Um sich zu qualifizieren, müssen Benutzer MFA für alle Transaktionstypen aktivieren, einen Anti-Phishing-Code einrichten, keine Geräte mit Jailbreak verwenden, einen Polizeibericht einreichen und einen Fragebogen ausfüllen, um eine forensische Untersuchung zu unterstützen.

Die umfassendere Geschichte

Benutzer von Crypto.com haben am Montag damit begonnen, unbefugte Abhebungen von ihren Konten zu melden, wie aus einem Tweet der Börse hervorgeht, der versicherte, dass „alle Gelder sicher sind“. Die Stimmung wurde vom CEO der Börse in einem am Dienstag geposteten Follow-up-Tweet bestätigt, in dem bestätigt wurde, dass keine Kundengelder verloren gegangen waren, dass die Ausfallzeit der Infrastruktur etwa 14 Stunden betrug und dass die Infrastruktur nach dem Vorfall "gehärtet" wurde.

Unterdessen twitterte das Blockchain-Sicherheits- und Datenanalyseunternehmen PeckShield, dass die Börse 15 Millionen Dollar (11 Millionen Pfund) verloren habe und gestohlenes Ethereum mit Tornado Cash, einem Krypto-Währungs-Tumbling- und Mixer-Service, „gewaschen“ werde – das Äquivalent zur Geldwäsche von Kryptowährungen.

Nachdem das offizielle Update am Donnerstag veröffentlicht wurde, berichteten betroffene Kunden immer noch, dass sie keine Rückerstattung erhalten hatten, und andere gaben an, dass sie immer noch nicht auf ihr Konto zugreifen konnten.

Was ist Crypto.com?

Die in Singapur ansässige Kryptowährungsbörse wurde 2016 gegründet und war damals unter dem Namen „Monaco“ bekannt, bevor sie 2018 in Crypto.com umbenannt wurde. Das Unternehmen unterhält Sponsoring-Beziehungen zu einer Reihe hochkarätiger Sportmannschaften, darunter Paris St-Germain und die Philadelphia 76ers , die italienische Fußballliga Serie A, die Formel 1 und die Ultimate Fighting Championship (UFC).

Außerdem erwarb das Unternehmen im Jahr 2021 die Namensrechte für die Staples Center Arena in Los Angeles für angeblich 700 Millionen US-Dollar (516,3 Millionen Pfund Sterling) mit einer Laufzeit von 20 Jahren.

Das Unternehmen ist ein großer Befürworter von Web3 und hat schnell von der jüngsten Popularität von nicht fungiblen Token (NFTs) profitiert, indem es seinem Angebot einen dedizierten Marktplatz für den Vermögenswert hinzufügte.

Das Unternehmen hat 10 Millionen Nutzer in 90 Ländern und beschäftigt 3.000 Mitarbeiter, um das Geschäft zu führen.