О взломе сообщил пользователь Reddit с ником blockchainified. Биржа не отрицает этот факт.
Утором 14 октября пострадавший обнаружил в своём ящике несколько сотен писем от биржи COSS. Сообщалось о попытках неудачного входа в аккаунт, который был защищён с помощью двухфакторной идентификации.
Проверка остатка показала, что счёт пуст. Активы (14 ВТС, 22 ЕТН, 11 700 000 токенов COSS и 19 000 EOS) были проданы на неликвидных рынках по низким курсам. Вопреки рекомендациям пользователь хранил средства на бирже. Дело в том, что он получал доход от комиссий, который COSS выплачивала держателям своих токенов.
Биржа прокомментировала ситуацию в своём блоге. Её представители утверждают, что серьёзно относятся ко всему, что связано с безопасностью пользователей.
Проведённое расследование показало, что пароль пользователя стал известен злоумышленникам за пределами биржи.
Метод взлома вызвал недоумение
Сначала 4 раза был введён пароль. После этого он был принят системой. Далее был сгенерирован ключ для двухфакторной аутентификации. Логи писем показали, что 2FA-ключ подставили путём брутфорса. Перед этим был произведён перебор 25 000 вариантов.
Непонятно, почему биржа позволила это сделать. Ситуация, когда пользователь неправильно вводит пароль/2FA-код, после чего месяцами не может получить доступ к аккаунту, является более типичной.
Хакер не смог с первой попытки вывести EOS, поскольку имели место перебои в работе ноды. CEO биржи Рун Эвенсен сообщил, что удалось вернуть около 11 млн украденных COSS.
Биржа установила ограничение на количество попыток ввода 2FA-ключа. После нескольких раз появляется сообщение 2FA_LIMIT.
Ранее мы писали о том, что Bitfinex запустит платформу для проведения токенсейлов.
Не купил крипту по низу рынка?
Попробуй свои силы бесплатно и выигрывай криптовалюту в лучших рекомендованных казино! Наш сайт wheretospin.com предлагает не только лучшие обзоры казино, но и возможность испытать удачу в захватывающих играх.
Присоединяйся прямо сейчас и начни путь к финансовой свободе с WhereToSpin!
Middle East
wheretospininkuwait.com provides a comprehensive selection of trusted online casino reviews for the Middle East أفضل كازينو على الإنترنت. The platform features well-established casinos supporting crypto deposits in the region, including Dream Bet, Haz Casino, Emirbet, YYY Casino, and Casinia.
South Africa and New Zealand
In the South African online casino market, wheretospin.co.za highlights top-rated platforms and online casinos such as True Fortune Casino and DuckyLuck. Meanwhile, for New Zealand players, wheretospin.nz showcases highly recommended casinos, including Casinia, Rooster.bet, and Joo Casino.