СМИ Клиент Currency.com сообщил о взломе 2FA и краже средств. Биржа отрицает наличие уязвимости

[LegolasGL]

14 апреля пользователь белорусской криптовалютной биржи Currency.com стал жертвой неизвестных злоумышленников, которые якобы взломали двухфакторную аутентификацию аккаунта и вывели средства со счета. Как сообщил редакции ForkLog коллега пострадавшего — Александр, причиной взлома стала уязвимость площадки. Биржа, впрочем, это опровергает.
Александр и его коллега, представители российского обменника, сотрудничают с рядом бирж. По его словам, руководство Currency.com уведомлено о роде их деятельности.

«Мы завели на счет банковским платежом 658 тысяч рублей. К нам зашел клиент и мне нужно было захеджировать сделку в моменте, одновременно с этим пришло уведомление на почту об успешном выводе средств. Из нас никто этот вывод не делал. Зашли в Currency через мобильное приложение и увидели, что денег нет. Кто-то купил на всю сумму биткоины и вывел их», — рассказал Александр.

Пользователь утверждает, что на площадке очень сложно работает вывод средств: администрация требует подтвердить источник происхождения средств и верифицировать кошелек.

«Зная, что на Currency существует такая огромная проблема с выводом денег, мы пребывали в шоке, почему приобретенные на наши рубли биткоины вышли без малейших подтверждений», — недоумевает Александр.

Как заявили ForkLog представители биржи, проверки принадлежности блокчейн-адресов вывода не осуществляются в обязательном порядке и проводятся только при возникновении определенных рисков.
По информации службы поддержки биржи, к аккаунту пострадавшего было привязано несколько активных устройств.

«Данный аккаунт использовался активно на большом числе устройств и IP-адресов ранее, поэтому транзакция схожа с паттерном активности аккаунта», — отметил специалист службы безопасности биржи в Telegram-чате Currency.com.

Александр в комментарии ForkLog сообщил, что его коллега входил в аккаунт только с одного компьютера и телефона.

«Доступ к аккаунту имел всего один человек. Ключ и пароль был только у этого человека. Касательно IP-адресов, мы находимся в Москве и иногда пользуемся проплаченным VPN-сервисом в случаях, когда нам нужно попасть на заблокированные в РФ биржи Bitstamp или LocalBitcoins.com», — рассказал Александр.

Так выглядят логи входов в скомпрометированный аккаунт, предоставленные службой безопасности Currency.com:
17:57 13.04 Питер PC вход с 2fa
13:37 14.04 Питер PC просмотр статуса OTP
13:46 14.04 Швеция PC вход с 2fa
13:48 14.04 Швеция PC трейд RUB -> BTC
13:50 14.04 Швеция PC запрос на вывод
13:58 14.04 Транзакция была отправлена в сеть
13:55 14.04 Питер PC смена OTP
14:16 14.04 Питер PC logout
14:29 14.04 1-е подтверждение,транзакция замайнилась
14:30 14.04 Отправлено уведомление на почту о выводе средств
14:38 14.04 Швеция PC logout
14:42 14.04 Москва Mob вход по токену
14:48 14.04 Сообщение в публичном чате
14:50 14.04 Звонок в поддержку

«Судя по логам, человек сидел с открытой сессией 20 часов. Более того, совпал двухфакторный аутентификатор. Но наши резервные ключи всегда записаны исключительно от руки и не хранятся в электронном виде — это отдельная сторона нашей безопасности», — указал Александр.

После вывода биткоинов злоумышленник заменил аутентификатор, однако владелец аккаунта не получил об этом уведомления:

«Биржа не делает холда на вывод средств при смене аутентификатора, не присылает уведомлений и дополнительных подтверждений о смене аутентификатора или входе в аккаунт с нового устройства. То есть мы даже знать не могли, что наш аккаунт был скомпрометирован».

Александр оповестил о ситуации своих коллег, которые также владеют аккаунтами на Currency.com, и многие из них попытались вывести средства, однако, по имеющейся у него информации, 15 апреля вывод средств был закрыт из-за технических неполадок. Представители биржи же сообщили ForkLog, что в этот день технические работы на бирже не проводились.
В настоящее время доступ к аккаунту пострадавшего заблокирован до выяснения обстоятельств.
Директор по развитию криптовалютной биржи Currency.com Николай Марковник в комментарии ForkLog рассказал некоторые подробности внутреннего расследования инцидента:

«У данного аккаунта был уже ряд выводов на блокчейн — каждый раз на новый адрес. Только за последнюю неделю — у аккаунта пять активных устройств из шести геолокаций с использованием 20 IP-адресов. Адрес вывода текущей транзакции на блокчейне также новый, данная транзакция — первая, связанная с этим адресом.
15 апреля у аккаунта были сессии с трех IP-адресов из двух стран, одна из которых была открыта с прошлого дня. У аккаунта была включена 2FA. В сессии, в рамках которой было инициировано снятие средств, пароль и ввод 2FA были успешно выполнены с первого раза. То есть инициатор платежа уже обладал всеми доступами к моменту авторизации. Мы также видим другие признаки того, что данная транзакция была совершена кем-то, кто ранее использовал этот аккаунт.
Анализируя количество активных устройств и IP-адресов, нужно подтвердить, что управление аккаунтом производилось только одним человеком, так как есть риск, что доступ имела группа лиц на протяжении длительного времени».

Представители биржи проверили все потенциальные уязвимости системы, которые могли быть связаны с кражей криптовалюты, и подтверждают, что следов утечки информации на платформе не обнаружили.
Вместе с тем Николай Марковник подчеркнул, что поведение клиента и группы лиц, связанных с ним, после инцидента вызывает вопросы:

«Многочисленные заявления о краже денег с платформы появились в публичных Telegram-каналах на несколько минут раньше, чем обращение клиента в службу поддержки Currency.com.
От лиц, связанных с клиентом, поступали предложения Currency.com о том, чтобы биржа компенсировала выведенные средства. Со своей стороны указанные лица были готовы публично признать, что средства украдены по их вине и подтвердить, что у них нет претензий к бирже.
Мы не утверждаем, что в данном случае идет речь о случае мошенничества. Но если будет установлено, что вывод денег осуществлен самим клиентом (связанными с ним лицами) и была попытка получения денег от Currency.com для восстановления имиджа, испорченного негативным пиаром, такие действия являются уголовным преступлением и могут быть квалифицированы как вымогательство или мошенничество», — рассказал представитель биткоин-биржи.

Currency.com намерена провести всестороннее расследование инцидента, для чего привлекла международное агентство по расследованию киберпреступлений. Заявления о возбуждении уголовного дела будут направлены в Следственный комитет Республики Беларусь и следственные органы РФ. Результаты расследования международного агентства будут переданы правоохранительным органам Беларуси и России.