Μία εβδομάδα αργότερα: Ενημέρωση για το hack του CoinCheck

Η 26η Ιανουαρίου σηματοδότησε την ημερομηνία κατά την οποία το CoinCheck, ένα ιαπωνικό χρηματιστήριο κρυπτογράφησης με κορυφαία απόδοση κοινοποίησε δημόσια ότι έχουν παραβιαστεί. Λίγο μετά την κοινοποίηση των πληροφοριών ότι το Ripple και το XEM είχαν κλαπεί, αλλά το πρώτο απορρίφθηκε καθώς προέκυψαν πρόσθετες πληροφορίες ότι τα κουπόνια Ripple αφαιρέθηκαν από την ανταλλαγή ως προφύλαξη.

Αυτή είναι μια συνέχεια από ένα προηγούμενο άρθρο και σας προτείνουμε να το διαβάσετε πρώτα αν αυτή είναι η πρώτη φορά που ακούτε για την κλοπή.

Τη στιγμή της σύνταξης, ο επίσημος ιστότοπος της ανταλλαγής κρυπτονομισμάτων φιλοξενεί μια απολογία σε όλους τους πελάτες τους, σε άλλες ανταλλαγές και σε όλους που επηρεάζονται από την παραβίαση. Δεν δίνονται συγγνώμες για κακές πρακτικές ασφαλείας για τις οποίες θα μπορείτε να διαβάσετε παρακάτω.

Παραβίαση ασφαλείας

συγγνώμηΑυτό είναι το απολογητικό μήνυμα που μπορείτε να βρείτε στον επίσημο ιστότοπο του CoinCheck τη στιγμή της γραφής.

Οι πληροφορίες προέκυψαν ότι το περίφημο χρηματιστήριο δεν εφάρμοσε καμία από τις καλά σχεδιασμένες λύσεις ασφαλείας που είναι μοναδικές για τα κρυπτονομίσματα. Συγκεκριμένα, μιλάμε για λογαριασμούς πολλαπλών υπογραφών και ψυχρά πορτοφόλια.

Δεν εφάρμοσαν κανένα, αλλά καθένας από αυτούς θα μπορούσε να είχε αποτρέψει αυτήν την καταστροφή. Απλώς για να σας υπενθυμίσω ότι κρυπτογράφηση αξίας άνω των 500 εκατομμυρίων δολαρίων (τότε) κλαπεί από τους λογαριασμούς τους λόγω της μη αναγνώρισης της σωστής μεθοδολογίας ασφαλείας.

Με την έλλειψη προβλέψεων και την ικανότητά τους να προστατεύουν σωστά τον εαυτό τους και τους πελάτες τους, έχουν θέσει σε κίνδυνο τη θέση τους στις ιαπωνικές αγορές και προκάλεσαν σημαντική ζημία στην επιβίωση πολλών ατόμων.

Το κλεμμένο XEM

Ένας τρόπος για να το χάκερΈνας τρόπος για τον χάκερ να «ξεπλένει» τα κουπόνια XEM θα ήταν να δημιουργήσει χιλιάδες πορτοφόλια χαρτιού που περιέχουν ένα κλάσμα του κλεμμένου ποσού και να συνδυαστεί με άτομα που αποσύρουν τα χαρτοφυλάκια τους που βρέθηκαν πρόσφατα.

Το Ίδρυμα NEM ήδη δημιούργησε ένα εργαλείο παρακολούθησης για τα χαμένα 526 εκατομμύρια XEM που έχουν κλαπεί στο hack την περασμένη Παρασκευή. Αυτό το εργαλείο θα επιτρέψει στις ανταλλαγές και διάφορες εφαρμογές ανταλλαγής να παρακολουθούν τις εισερχόμενες συνεισφορές NEM στην πλατφόρμα τους και μέσω μιας σύνδεσης API στο εργαλείο να παράγουν αποτελέσματα με παραπομπές που αποκαλύπτουν τη διεύθυνση ότι περιέχει κλεμμένο νόμισμα.

Οι διευθύνσεις είναι μαύρες στη λίστα και οι ανταλλαγές δήλωσαν ότι δεν θα δεχθούν καταθέσεις από αυτές τις διευθύνσεις. Επιπλέον, εργαλεία ανταλλαγής όπως το ShapeShift.io έχουν επίσης εκφράσει την πρόθεσή τους να απαγορεύσουν αυτές τις διευθύνσεις από το σύστημα.

Το μεγάλο όφελος των δημόσιων βιβλίων είναι ότι, ανεξάρτητα από το γεγονός ότι το νόμισμα κλαπεί, υπάρχει μεγάλη πιθανότητα ο εισβολέας να μην μπορεί να ανακτήσει οποιαδήποτε αξία που περιέχεται στο κλεμμένο ποσό.

Πρόωρη προειδοποίηση

Η ανταλλαγή έλαβε μια προειδοποίηση για πιθανές επιθέσεις στον κυβερνοχώρο μήνες πριν από αυτό το γεγονός, αλλά δεν κατάφεραν να το εκτιμήσουν και να βελτιώσουν την ασφάλεια βάσει αυτούΗ ανταλλαγή έλαβε μια προειδοποίηση για πιθανές επιθέσεις στον κυβερνοχώρο μήνες πριν από αυτό το γεγονός, αλλά δεν κατάφεραν να το εκτιμήσουν και να βελτιώσουν την ασφάλεια βάσει αυτού.

Σύμφωνα με Japan Times, η FSA εξέδωσε προειδοποίηση στο CoinCheck σχετικά με αυτήν την τρύπα ασφαλείας, δηλαδή το γεγονός ότι κρατούσαν χρήματα σε ένα ζεστό πορτοφόλι. Η αποτυχία απάντησης σε αυτήν την προειδοποίηση, η οποία ελήφθη τον περασμένο Σεπτέμβριο, μπορεί να οδηγήσει σε διοικητικά πρόστιμα που καταβάλλει η CoinCheck.

Η προειδοποίηση έφτασε στο CoinCheck στις 26 Ιανουαρίου και εκμεταλλεύτηκε την ευπάθεια τους, η οποία προκάλεσε την απώλεια 58 δισεκατομμυρίων ¥.

Υπόσχεση να επιστρέψεις τα κλεμμένα χρήματα

Τα χέρια των CoinCheck πληγώνουν τους πελάτες που περιμένουν τα χρήματά τους πίσω.Τα χέρια των CoinCheck έβλαψαν τους πελάτες να περιμένουν τα χρήματά τους αφού η εταιρεία υποσχέθηκε να επιστρέψει το 90% των κλεμμένων χρημάτων.

Φωτογραφία από Kira auf der Heide

Το CoinCheck χρειάστηκε μόνο δύο ημέρες μετά την παραβίαση για να υποσχεθεί μια πλήρη επιστροφή των κλεμμένων χρημάτων στην πλατφόρμα συνολικού ύψους περίπου 46 δισεκατομμυρίων γιεν, δηλαδή ~ 420 εκατομμύρια δολάρια ΗΠΑ.

Αν και αυτό δεν είναι το πλήρες ποσό που ανέρχεται περίπου στο 90%, εξακολουθεί να είναι αρκετά καλό για να ζητήσει ενθάρρυνση.

Σκοπεύουν να εξοφλήσουν χρησιμοποιώντας τους λογαριασμούς της εταιρείας και απευθείας σε Ιαπωνικά γεν (¥). Αυτό είναι ένα καλό σημάδι και είναι πιθανό εάν η FSA επιτρέπει στο CoinCheck να συνεχίσει τις δραστηριότητές του μετά την επίλυση αυτής της κρίσης.

Εντολή βελτίωσης επιχειρήσεων

Η FSA χτυπά το CoinCheck με μια Εντολή Βελτίωσης Επιχειρήσεων, η οποία είναι ισχυρότερη από τις προηγούμενες προειδοποιήσεις που εκδίδουν. Το CoinCheck δεν έχει άλλη επιλογή παρά να συμμορφώνεται και να εφαρμόζει βελτιωμένα μέτρα ασφαλείας.Η FSA χτυπά το CoinCheck με μια Εντολή Βελτίωσης Επιχειρήσεων, η οποία είναι ισχυρότερη από τις προηγούμενες προειδοποιήσεις που εκδίδουν. Το CoinCheck δεν έχει άλλη επιλογή παρά να συμμορφώνεται και να εφαρμόζει βελτιωμένα μέτρα ασφαλείας.

Ως απάντηση για τον μετριασμό τυχόν πρόσθετων ζημιών, ο Οργανισμός Χρηματοοικονομικών Υπηρεσιών (FSA) εισέβαλε στα γραφεία του CoinCheck και κατάσχεσε υπολογιστές, σκληρούς δίσκους και χαρτιά, ενώ ταυτόχρονα παρουσίαζε μια Εντολή Βελτίωσης Επιχειρήσεων στον Διευθύνοντα Σύμβουλο του CoinCheck.

Βρίσκεται στον ιστότοπό τους, το Business Improvement Order αναφέρει ότι η εταιρεία πρέπει:

  1. Διερευνήστε το γεγονός και τις αιτίες της υπόθεσης.
  2. Παρέχουν κατάλληλη υποστήριξη στους πελάτες τους.
  3. Λάβετε μέτρα για να ενισχύσετε τα τρέχοντα μέτρα ασφαλείας.
  4. Δημιουργία μιας σαφούς προς κατανόηση κατευθυντήριας γραμμής διαχείρισης κινδύνων και πρόληψης μαζί με νέα μέτρα σχετικά με τον τρόπο απόκρισης σε παρόμοια γεγονότα με εξήγηση του ποιος είναι υπεύθυνος για αυτό.
  5. Καταχωρίστε μια γραπτή αναφορά, δηλ. Σχεδιάστε σχετικά με τα στοιχεία 1-4 σε αυτήν τη λίστα έως την Τρίτη 13 Φεβρουαρίου 2018.

Φαίνονται να έχουν την τάση να ανακάμψουν, κάνοντας ισχυρές δηλώσεις σχετικά με τη δυνατότητα αναβάθμισης των συστημάτων και των πρωτοκόλλων ασφαλείας τους.

Δεδομένου ότι δεν έχουν εφαρμόσει τα διαθέσιμα και γενικά αναμενόμενα μέτρα ασφαλείας, είμαστε βέβαιοι ότι δεν θα έχουν πολλές δυσκολίες για να φτάσουν σε ένα νέο πρότυπο ασφάλειας για την πλατφόρμα τους.

συμπέρασμα

Ολόκληρη η εκδήλωση θα μπορούσε να είχε αποφευχθεί με την εφαρμογή κατάλληλων μέτρων ασφαλείας. CoinCheck για αποζημίωση πελατών. Η FSA χρεώνει το CoinCheck με μια εντολή βελτίωσης επιχείρησης ζητώντας πλήρη αναφορά έως τις 13 Φεβρουαρίου. Φωτογραφία από & lt; a href =Daria Nepriakhina “width =” 1500 “height =” 1000 “/> Ολόκληρη η εκδήλωση θα μπορούσε να είχε αποφευχθεί με την εφαρμογή κατάλληλων μέτρων ασφαλείας. CoinCheck για επιστροφή χρημάτων στους πελάτες. Η FSA χρεώνει το CoinCheck με μια εντολή βελτίωσης επιχείρησης ζητώντας πλήρη αναφορά έως τις 13 Φεβρουαρίου. Φωτογραφία από Daria Nepriakhina

Ανεξάρτητα από το μεγάλο ποσό χρημάτων που έχουν κλαπεί, αυτό είναι μόνο μια γεύση από το τι θα μπορούσε να είχε συμβεί αν ολόκληρη η ανταλλαγή είχε ρευστοποιηθεί στους λογαριασμούς των χάκερ.

Ευτυχώς, η ομάδα του CoinCheck ήταν αρκετά γρήγορη για να ανταποκριθεί και να το περιέχει μόνο σε μάρκες NEM. Η πεποίθησή μου είναι ισχυρή ότι η ομάδα διαχείρισης του CoinCheck είναι ειλικρινής και νοιάζεται για τα συμφέροντα των πελατών τους και ανυπομονώ να τους δω να πάει πίσω στα πόδια τους, ασφαλέστερες από ποτέ.

Αυτό το γεγονός θα είναι ένα μικρό μάθημα που θα μάθει ότι θα προστατεύσει την ανταλλαγή για τα επόμενα χρόνια σε αυτήν την αναπτυσσόμενη αγορά κρυπτογράφησης, εάν επιβιώσουν από αυτήν την καταστροφή…

Μια πολύ σημαντική πλευρά αυτής της ιστορίας είναι το γεγονός ότι το να μην έχεις multisig αφήνει την ανταλλαγή ευάλωτη σε επιθέσεις «εντός του ανθρώπου», για τις οποίες η εταιρεία ισχυρίζεται επί του παρόντος με βεβαιότητα ότι δεν συνέβαινε..

Το πώς μπορούν να εκτιμήσουν ότι η κατάσταση είναι πέρα ​​από εμένα, γιατί ο χάκερ μπορεί επίσης να κρυφτεί στα μάτια, καθώς ένας από τους τεχνικούς προσπαθούσε να επιλύσει την υπόθεση. Κανένα από αυτά δεν θα ήταν δυνατό εάν εφαρμοζόταν multisig, ανεξάρτητα από το γεγονός ότι το NEM κρατήθηκε σε ένα ζεστό πορτοφόλι.

Ανυπομονούμε για τις 13 Φεβρουαρίου, όπου αναμένουμε από το CoinCheck να εκπονήσει δημόσια ένα σχέδιο στην FSA σχετικά με το πώς θα προσεγγίσουν το ζήτημα και τι είδους μέτρα θα λάβουν για την αποζημίωση των ζημιωμένων πελατών, τη βελτίωση της ασφάλειας και την εφαρμογή νέου κινδύνου και πολιτικές διαχείρισης ευθύνης.

Αναμένουμε από την αναφορά τους να περιέχει μια μέθοδο αποπληρωμής πελατών, καθώς και μια ημερομηνία κατά την οποία θα ολοκληρωθεί αυτή η διαδικασία, μαζί με σχέδια για την ενίσχυση της ασφάλειας και τη βελτίωση της πολιτικής της εταιρείας για τη διαχείριση κεφαλαίων.