На порталі Reddit з’явилося повідомлення від користувача з ніком Blainchainified, в якому він розповів, як у нього 14 жовтня через уразливості в системі безпеки криптовалютной біржі COSS вкрали всі його цифрові активи. Співробітники біржі зараз намагаються звинуватити в тому, що трапилося потерпілого.
«Я прокинувся вранці, включив ноутбук, перевірив пошту і побачив величезну кількість листів від COSS, які повідомляли про невдалу авторизації в мій акаунт на біржі», – почав своє звернення користувач з ніком Blainchainified.
Він також зазначив, що у нього були підключені всі можливі способи захисту від злому, тому говорити про те, що вина за злом лежить повністю на ньому, принаймні буде не зовсім коректно.
«Коли я зайшов на свій аккаунт, то виявив, що всі мої кріптовалюти і цифрові токени були продані за заниженими цінами», – продовжує потерпілий.
Користувач відразу звернувся в підтримку, щоб повідомити про це, а також написав на Reddit і в Telegram-групі біржі. Багато хто в коментарях його почали висміювати в тому, що нерозумно було зберігати всі кошти на гаманцях біржі, з чим він погодився, однак таке його рішення пояснювалося тим, що біржа ділиться прибутками від торговельних оборотів з власниками токенів пропорційно їх кількості на біржових гаманцях. Тому зберігаючи кошти на гаманцях біржі, він отримував пасивний дохід.
Представники COSS категоричний заперечують свою провину і заявили, що у хакера був пароль потерпілого і тому він сам винен у трагедії.
«Звичайно, легше всього звинуватити потерпілого і покласти на нього відповідальність за крадіжку. Але я в цій галузі з 2011 року і прекрасно розумію, як потрібно захищати свої дані», – прокоментував Blainchainified. «Я не використовую комп’ютери з операційною системою Windows, я не використовую двухфакторую аутентифікацію за допомогою SMS. У цих питаннях я дуже допитливий».
Далі у своєму зверненні користувач пояснює, що навіть якщо пароль був скомпрометований і хакер його дізнався, що у нього був захист 2FA, яка встановлювалася як раз на цей випадок.
«Нещодавно я отримав відповідь від COSS, в якому говориться, що атака на біржу все ж була зроблена. З 25000-го разу хакеру вдалося підібрати пароль 2FA, що генерується додатком Google Authentication, за допомогою методу «повного перебору» (brute force)», – продовжує свій пост Blainchainified.
Користувач наполягає на те, що вина в даному випадку лежить повністю на біржі, тому що навіть якщо пароль був скомпрометований, то обійти 2FA вдалося виключно через атаки, яку допустила COSS.
«Якби проблема була в самій захисту 2FA, компанія Google зіткнулася б з серйозними проблемами та скаргами з боку своїх користувачів. Вся індустрія перетворилася б у хаос. Біржі в такому випадку понесуть збитки на мільярди доларів, а це приведе до значних втрат в усій галузі», – заявив Blainchainified.
І все ж Blainchainified готовий розділити провину і у зв’язку з цим вимагає біржі повернути половину вкрадених коштів.
Активи, які у нього були на момент злому:
-
11 700 000 токенів COSS (~$820 000)
-
~14 BTC
-
~ 22 ETH
-
19 000 EOS, які хакеру вкрасти не вдалося.
«COSS повинна нести відповідальність за те, що трапилося, оскільки крадіжку дозволила провести внутрішня вразливість платформи», – закінчив своє звернення до COSS потерпілий.
В кінці Blainchainified закликав всі криптовалютные біржі включити додаткову функцію безпеки для захисту коштів — це торговий пароль. У такому разі зломщикові не вдасться продати активи користувачів, навіть якщо він зможе скомпрометувати пароль від аккаунта і обійти захист 2FA.
Thanks!
Our editors are notified.