En teden kasneje: posodobitev o vdoru CoinCheck

26. januarja je zaznamoval datum, ko je CoinCheck, najuspešnejša japonska borza kriptovalut, javno povedala, da so bili vdrani. Kmalu po delitvi informacij, da sta bila ukradena Ripple in XEM, vendar je bila prva zavrnjena, ker se je izkazalo, da so bili žetoni Ripple preventivno odstranjeni iz borze.

To je nadaljevanje prejšnjega članka in predlagamo, da najprej preberete, če prvič slišite o kraji.

V času pisanja uradne spletne strani borze kriptovalut se opravičujemo vsem svojim strankam, drugim borzam in vsem, ki jih je kramp prizadel. Opravičil za varnostne napake, o katerih boste lahko prebrali spodaj, ni.

Varnostna zloraba

opravičilo za preverjanje kovancevTo je opravičilo, ki ga lahko najdete na uradni spletni strani CoinCheck v času pisanja.

Izkazalo se je, da slavna borza ni uporabila nobene dobro zasnovane varnostne rešitve, ki je značilna samo za kriptovalute. Natančneje, govorimo o računih z več podpisi in hladnih denarnicah.

Izvajali niso nobenega, vendar bi lahko kateri koli od njiju preprečil to katastrofo. Samo, da vas spomnim, da je bilo z njihovih računov ukradenih več kot 500 milijonov ameriških dolarjev kriptovalut (takrat) zaradi nepriznavanja ustrezne varnostne metodologije.

Zaradi pomanjkanja predvidevanja in sposobnosti ustrezne zaščite sebe in svojih strank so ogrozili svoj položaj na japonskih trgih in povzročili znatno škodo za preživetje številnih posameznikov.

Ukradeni XEM

En način za hekerjaEden od načinov, kako heker “opere” žetone XEM, bi bil ustvariti na tisoče papirnatih denarnic, ki vsebujejo del ukradene količine, in se združiti z ljudmi, ki dvignejo svoje novo najdene papirnate denarnice.

Fundacija NEM že ustvaril orodje za sledenje za pogrešanih 526 milijonov XEM, ki so bili ukradeni v kramp prejšnji petek. To orodje bo izmenjavam in različnim aplikacijam za izmenjavo omogočilo sledenje dohodnim prispevkom NEM na njihovo platformo in prek povezave API z orodjem ustvarilo navzkrižno referenčne rezultate, ki razkrivajo, da naslov vsebuje ukradeno valuto.

Naslovi so na črni listi in borze so sporočile, da s teh naslovov ne bodo sprejele nobenih polog. Poleg tega so orodja za izmenjavo, kot je ShapeShift.io, prav tako izrazila namero prepovedati te naslove iz sistema.

Velika prednost javnih knjig je v tem, da ne glede na to, da je bila valuta ukradena, obstaja velika verjetnost, da heker ne bo mogel pridobiti nobene vrednosti v ukradenem znesku.

Prezgodnje opozorilo

Borza je mesece pred tem dogodkom prejela opozorilo o možnih kibernetskih napadih, vendar tega niso razumeli in na podlagi tega izboljšali varnostBorza je mesece pred tem dogodkom prejela opozorilo o možnih kibernetskih napadih, vendar tega niso razumeli in na podlagi tega izboljšali varnost.

Po navedbah Japan Times, FSA je CoinChecku izdal opozorilo glede te varnostne luknje, torej dejstva, da so sredstva hranili v vroči denarnici. Če se na to opozorilo, ki je bilo prejeto septembra lani, ni mogoče odzvati, lahko CoinCheck plača upravne globe.

Opozorilo je CoinCheck doletelo 26. januarja in njihova ranljivost je bila izkoriščena, kar je povzročilo izgubo 58 milijard ¥.

Obljubite, da boste vrnili ukradena sredstva

Roke kupcev CoinChecka prizadenejo svoj denar nazaj.Roke prizadetih kupcev CoinChecka, ki pričakujejo svoj denar nazaj, potem ko je podjetje obljubilo vrniti 90% ukradenih sredstev.

Avtor fotografije Kira auf der Heide

CoinCheck je trajal le dva dni po vdoru, da je obljubil popolno vrnitev ukradenih sredstev na platformi v skupni vrednosti približno 46 milijard jen, to je ~ 420 milijonov USD.

Čeprav to ni celoten znesek, ki znaša približno 90%, je še vedno dovolj dober, da ga prosimo za spodbudo.

Odplačevati nameravajo z uporabo računov podjetja in neposredno v japonskih jenih (¥). To je dober znak in mogoče je, če FSA dovoli CoinChecku, da nadaljuje z operacijami po umiru krize.

Naročilo za izboljšanje poslovanja

FSA zadene CoinCheck z nalogom za izboljšanje poslovanja, ki je močnejša od prejšnjih opozoril, ki jih izdajo. CoinCheck nima druge možnosti, kot da izpolnjuje in izvaja izboljšane varnostne ukrepe.FSA zadene CoinCheck z nalogom za izboljšanje poslovanja, ki je močnejša od prejšnjih opozoril, ki jih izdajo. CoinCheck nima druge možnosti, kot da izpolnjuje in izvaja izboljšane varnostne ukrepe.

Kot odgovor na ublažitev morebitne dodatne škode je Agencija za finančne storitve (FSA) vdrla v pisarne CoinCheck in zasegla računalnike, trde diske in papirje, hkrati pa izvršnemu direktorju CoinCheck predstavila nalog za izboljšanje poslovanja.

V Nalogu za izboljšanje poslovanja, ki ga najdete na njihovi spletni strani, piše, da mora podjetje:

  1. Raziščite dejstvo in vzroke primera.
  2. Zagotovite ustrezno podporo svojim strankam.
  3. Sprejeti ukrepe za okrepitev sedanjih varnostnih ukrepov.
  4. Ustvarjanje jasne in razumljive smernice za obvladovanje in preprečevanje tveganj, skupaj z novimi ukrepi o odzivanju na podobne dogodke z obrazložitvijo, kdo je za kaj odgovoren.
  5. Priskrbite pisno poročilo, to je načrt do točk 1–4 s tega seznama do torka, 13. februarja 2018.

Zdi se, da so zelo nagnjeni k okrevanju in dajejo odločne izjave o možnosti nadgradnje svojih sistemov in varnostnih protokolov.

Glede na to, da niso izvajali razpoložljivih in splošno pričakovanih varnostnih ukrepov, smo prepričani, da ne bodo imeli veliko težav, da bi dosegli nov varnostni standard za svojo platformo.

Zaključek

Celotnemu dogodku bi se lahko izognili z ustreznimi varnostnimi ukrepi. CoinCheck za povračilo stroškov strankam. FSA zaračuna CoinCheck z nalogom za izboljšanje poslovanja, ki zahteva popolno poročilo do 13. februarja. Foto: & lt; a href =Daria Nepriakhina “width =” 1500 “height =” 1000 “/> Celotnemu dogodku bi se lahko izognili z izvajanjem ustreznih varnostnih ukrepov. CoinCheck za povračilo stroškov strankam. FSA zaračuna CoinCheck z nalogom za izboljšanje poslovanja, ki zahteva popolno poročilo do 13. februarja. Avtor fotografije Daria Nepriakhina

Ne glede na veliko količino ukradenih sredstev je to le okus tega, kaj bi se lahko zgodilo, če bi bila celotna borza likvidirana na račune hekerjev.

Na srečo je bila ekipa CoinCheck dovolj hitra, da se je odzvala in je vsebovala le žetone NEM. Trdno sem prepričan, da je vodstvena ekipa CoinCheck poštena in skrbi za interese svojih strank, in veselim se, da jih poskočijo na noge, varnejše kot kdaj koli prej.

Ta dogodek bo majhna lekcija, ki bo zaščitila borzo v prihodnjih letih na tem rastočem trgu kriptovalut, če bodo preživeli to katastrofo …

Zelo pomembna plat te zgodbe je dejstvo, da neobstoj multisig-a pomeni, da je borza ranljiva za napade “znotraj človeka”, za kar podjetje trenutno z gotovostjo trdi, da ni bilo tako.

Kako lahko ocenijo to situacijo, ni v moji moči, ker bi se heker prav tako lahko skril pred očmi, kot je eden od tehnikov poskušal rešiti primer. Nič od tega ne bi bilo mogoče, če bi uvedli multisig, ne glede na to, da je bil NEM v vroči denarnici.

Veselimo se 13. februarja, ko pričakujemo, da bo CoinCheck FSA javno izdelal načrt, kako se bodo lotili vprašanja in kakšne ukrepe bodo sprejeli za povrnitev škode strankam, izboljšanje varnosti in izvajanje novih tveganj in politike upravljanja odgovornosti.

Pričakujemo, da bo njihovo poročilo vsebovalo način odplačevanja strankam, pa tudi datum, ko bo ta postopek dokončan, skupaj z načrti za krepitev varnosti in izboljšanje politike podjetja glede upravljanja sredstev.