Crypto.com dit que les pirates ont volé plus de 30 millions de dollars en bitcoin et ethereum

Crypto.com a déclaré jeudi que les cybercriminels avaient violé ses systèmes de sécurité plus tôt dans la semaine et se sont emparés de plus de 30 millions de dollars en bitcoins et en ethereum volés.

L’échange de crypto-monnaie Crypto.com, connu pour sa publicité virale mettant en vedette Matt Damon ainsi que son récent accord de 700 millions de dollars avec renommer le Staples Center à Los Angeles sous le nom de Crypto.com Arena, a déclaré que les pirates avaient réussi à contourner son système d’authentification à deux facteurs et à retirer les fonds de 483 comptes clients, selon un communiqué publié jeudi par l’échange de crypto basé à Singapour sur son blog d’entreprise.

« Les retraits non autorisés ont totalisé 4 836,26 ETH, 443,93 BTC et environ 66 200 USD dans d’autres devises », a indiqué la société dans le message.

Cela équivaut à environ 15 millions de dollars et 19 millions de dollars en ethereum et bitcoin, respectivement, sur la base des taux de change actuels. Tous les clients ont été « entièrement remboursés » pour tous les fonds perdus à la suite du piratage, a déclaré Crypto.com.

La déclaration du blog sert de post-mortem du piratage, qui, selon la société, s’est produit lundi. Il fournit des détails sur l’événement et la détection et la réponse de l’entreprise à la cyber-violation, ainsi que ses « prochaines étapes », mais il n’offre pas d’informations sur l’identité des pirates à l’origine de la violation.

Le moment de la déclaration publique de Crypto.com, trois jours après le piratage, est considéré par beaucoup comme une confirmation tardive. Selon un article de CoinDesk mercredi, environ 4 600 étherium qui auraient été volés sur Crypto.com étaient « actuellement blanchis via Tornado Cash – un mélangeur d’étherium ». Le billet de blog de jeudi faisait également suite à une interview de Bloomberg mercredi avec le directeur général de Crypto.com, Kris Marszalek, dans laquelle le PDG a reconnu qu’environ 400 comptes clients avaient été piratés.

« Compte tenu de l’ampleur de l’entreprise, ces chiffres ne sont pas particulièrement significatifs et les fonds des clients n’étaient pas à risque », a déclaré le PDG à Bloomberg.

Rapports d' »activité suspecte »

La société a reconnu pour la première fois que quelque chose d’inhabituel s’était produit le 16 janvier tweeter dans lequel il a annoncé la suspension temporaire des retraits à la suite de rapports d’utilisateurs « d’activités suspectes sur leurs comptes ».

« Nous allons suspendre les retraits sous peu, car notre équipe enquête. Tous les fonds sont en sécurité », a déclaré la société.

L’affirmation de la société selon laquelle « Tous les fonds sont en sécurité » a été rapidement contestée par les clients, notamment le joaillier Ben Baller, basé à Los Angeles, qui a immédiatement tweeté retour, « J’ai envoyé un message à vos gars il y a des heures au sujet de mon compte ayant été volé de nulle part 4.28ETH et je me demande aussi comment ils ont réussi le 2FA? »

2FA remis en cause

L’authentification à deux facteurs, ou 2FA, est le système de sécurité en plusieurs étapes qui oblige les utilisateurs à fournir deux formes d’identification distinctes, telles qu’un code secret à usage unique en plus d’un mot de passe, lors de la connexion à un compte en ligne. La mesure de sécurité couramment utilisée fournit une couche supplémentaire de protection contre les mots de passe faibles tels que, par exemple, un nom de famille suivi de « 123 ». Bien qu’il soit utilisé par les industries à tous les niveaux, 2FA est considéré comme un must pour les comptes en monnaie numérique. La brèche de lundi, cependant, remet en question la fiabilité de 2FA dans la protection des actifs numériques contre les pirates.

Pour l’instant, Crypto.com dit qu’il s’en tient à 2FA, mais pas pour longtemps.

Lors de la découverte de la violation, la société « a révoqué tous les jetons 2FA des clients » et a utilisé les 14 heures d’indisponibilité de l’activité de retrait pour « réorganiser », selon le communiqué. Les clients ont ensuite été « migrés vers une toute nouvelle infrastructure 2FA », comme mesure de sécurité supplémentaire.

Ce n’est que temporaire, cependant, car la société a déclaré qu’elle prévoyait d’abandonner 2FA pour « une véritable authentification multifacteur (MFA), offrant une force supplémentaire à notre base d’utilisateurs mondiale ».

Les actions de Crypto.com ont chuté de plus de 6 % depuis l’annonce de la faille de sécurité, clôturant jeudi à 46 cents par action.