Crypto.com, la cuarta plataforma de intercambio de criptomonedas más grande de la industria, ha admitido finalmente que ha perdido fondos de los usuarios debido a un reciente fallo de seguridad.
Según una publicación en el blog el jueves, el incidente afectó a un total de 483 usuarios, lo que dio lugar a retiradas no autorizadas por un total de 4.836,26 Ethereum, 443,93 Bitcoin, y aproximadamente 66.200 dólares en otras criptomonedas, o aproximadamente 33,84 millones de dólares a precios actuales.
Crypto.com, con sede en Singapur, anunció que había interrumpido los retiros de fondos después de que "un pequeño número de usuarios experimentara actividad no autorizada en sus cuentas" el lunes, e instó a los clientes a restablecer su autenticación de dos factores (2FA).
La empresa de seguridad Peckshield reveló más tarde que el incidente hizo que Crypto.com perdiera al menos 4.600 ETH (alrededor de 15 millones de dólares) en fondos de los usuarios, y dijo a Decrypt que la escala del daño era "definitivamente peor."
Según Peckshield, la mitad de los fondos robados se enviaron a Tornado Cash, un servicio de mezcla de criptomonedas que permite a los usuarios ofuscar sus transacciones.
Además, el analista de blockchain ErgoBTC dijo que los hackers lograron llevarse unos 444 BTC, la cifra que Crypto.com confirmó en el post-mortem de hoy.
A pesar de la letanía de pruebas, Crypto.com se negó inicialmente a reconocer el hackeo, y el CEO de la compañía, Kris Marszalek, afirmó que "no se perdió ningún fondo de los clientes."
CEO de Crypto.com: "Los números no son especialmente importantes"
Marszalek apareció en Bloomberg TV el miércoles, confirmando finalmente que unas 400 cuentas de clientes habían sido comprometidas.
Según él, Crypto.com rápidamente pausó los retiros después de detectar que "algunas de las capas de defensa fueron violadas", solucionó el problema y "volvió a estar en línea en cerca de 13 o 14 horas".
Añadió que ese mismo día "se reembolsaron todas las cuentas afectadas, por lo que no hubo pérdida de fondos de los clientes".
Cuando se le preguntó por el alcance real de las pérdidas sufridas por la plataforma de intercambio, Marszalek dijo que "dada la escala del negocio, estas cifras no son especialmente importantes".
La autopsia de la empresa confirmó que el incidente de seguridad se produjo debido a problemas con el 2FA.
Crypto.com dijo que también renovó y migró a una infraestructura 2FA completamente nueva, con tokens 2FA para todos los usuarios revocados "para asegurar que la nueva infraestructura estuviera en efecto."
La plataforma introdujo una capa adicional de seguridad para añadir un plazo obligatorio de 24 horas entre el registro de una nueva dirección de retirada de fondos en la lista blanca y el primer retiro de fondos.
Según la empresa, esto dará a los usuarios "el tiempo adecuado para reaccionar y responder" a las notificaciones de que se han añadido nuevas direcciones de retiro.
Crypto.com también ha anunciado el lanzamiento del Programa Mundial de Protección de Cuentas (WAPP), que está "diseñado para proteger los fondos de los usuarios en caso de que un tercero obtenga acceso no autorizado a su cuenta y retire fondos sin el permiso del usuario".
La WAPP abre la posibilidad de restaurar los fondos hasta 250.000 dólares. Aun así, viene con varias condiciones para calificar, incluyendo el requisito de habilitar la autenticación multifactor y configurar un código antiphishing al menos 21 días antes de la transacción no autorizada reportada.
Los usuarios también tendrán que presentar una denuncia policial y responder a un cuestionario para apoyar una investigación forense.
Daily Debrief Newsletter
Start every day with the top news stories right now, plus original features, a podcast, videos and more.