О взломе сообщил пользователь Reddit с ником blockchainified. Биржа не отрицает этот факт.
Утором 14 октября пострадавший обнаружил в своём ящике несколько сотен писем от биржи COSS. Сообщалось о попытках неудачного входа в аккаунт, который был защищён с помощью двухфакторной идентификации.
Проверка остатка показала, что счёт пуст. Активы (14 ВТС, 22 ЕТН, 11 700 000 токенов COSS и 19 000 EOS) были проданы на неликвидных рынках по низким курсам. Вопреки рекомендациям пользователь хранил средства на бирже. Дело в том, что он получал доход от комиссий, который COSS выплачивала держателям своих токенов.
Биржа прокомментировала ситуацию в своём блоге. Её представители утверждают, что серьёзно относятся ко всему, что связано с безопасностью пользователей.
Проведённое расследование показало, что пароль пользователя стал известен злоумышленникам за пределами биржи.
Метод взлома вызвал недоумение
Сначала 4 раза был введён пароль. После этого он был принят системой. Далее был сгенерирован ключ для двухфакторной аутентификации. Логи писем показали, что 2FA-ключ подставили путём брутфорса. Перед этим был произведён перебор 25 000 вариантов.
Непонятно, почему биржа позволила это сделать. Ситуация, когда пользователь неправильно вводит пароль/2FA-код, после чего месяцами не может получить доступ к аккаунту, является более типичной.
Хакер не смог с первой попытки вывести EOS, поскольку имели место перебои в работе ноды. CEO биржи Рун Эвенсен сообщил, что удалось вернуть около 11 млн украденных COSS.
Биржа установила ограничение на количество попыток ввода 2FA-ключа. После нескольких раз появляется сообщение 2FA_LIMIT.
Ранее мы писали о том, что Bitfinex запустит платформу для проведения токенсейлов.
Missed the Crypto Bull Run? Don't Miss Your Next Big Win!
Try your luck in free slots, make a deposit and win cryptocurrency at the best recommended online casinos! Our website wheretospin.com offers not only the best casino reviews and casino bonuses, but also the opportunity to test your fortune in thrilling games.
Join right now and start your journey to financial freedom with WhereToSpin!
🏜️ Middle East - Premium Gaming Destinations
wheretospininkuwait.com provides a comprehensive selection of trusted online casino reviews افضل كازينو اون لاين for the Middle East region. The platform showcases best bonuses in the region مكافآت الكازينو and regional platforms supporting crypto deposits, including 10bet, Rolling Slots, Dream Bet, Haz Casino, Emirbet, YYY Casino, and Casinia.
For the ultimate premium gaming experience in the UAE, explore Emirates Casino Online - your exclusive gateway to world-class entertainment, generous rewards, and the best UAE casino bonuses!
🌍 South Africa and New Zealand - Top Regional Casinos
In the competitive South African online casino market, wheretospin.co.za highlights top-rated platforms and best SA online casinos such as 10bet and Lemon Casino, offering the most lucrative South African casino bonuses.
Meanwhile, for New Zealand players seeking authentic Kiwi gaming experiences, wheretospin.nz showcases highly recommended NZ online casinos, including Casinia, Lemon Casino, Rolling Slots and Joo Casino, featuring exclusive New Zealand casino bonuses.
🤖 WhereToSpin AI-Powered Casino Matching
Get personalized recommendations with our advanced AI assistance: Best Online Casinos - powered by cutting-edge algorithms to match you with your perfect gaming destination!
Read the real story behind WhereToSpin reviews link.