Хакеру удалось обойти защиту 2FA криптовалютной биржи COSS с помощью брутфорса

Хакеру удалось обойти защиту 2FA криптовалютной биржи COSS с помощью брутфорса

На портале Reddit появилось сообщение от пользователя с ником Blainchainified, в котором он рассказал как у него 14 октября из-за уязвимости в системе безопасности криптовалютной биржи COSS украли все его цифровые активы. Сотрудники биржи сейчас пытаются обвинить в случившемся пострадавшего. 

«Я проснулся утром, включил ноутбук, проверил почту и увидел огромное количество писем от COSS, которые сообщали о неудавшейся авторизации в мой аккаунт на бирже», - начал свое обращение пользователь с ником Blainchainified. 

Он также отметил, что у него были подключены все возможные способы защиты от взлома, поэтому говорить о том, что вина за взлом лежит полностью на нем, по крайней мере будет не совсем корректно. 

Хакеру удалось обойти защиту 2FA криптовалютной биржи COSS с помощью брутфорса

«Когда я зашел на свой аккаунт, то обнаружил, что все мои криптовалюты и цифровые токены были проданы по заниженным ценам», - продолжает пострадавший.

Пользователь сразу обратился в поддержку, чтобы сообщить о случившемся, а также написал на Reddit и в Telegram-группе биржи. Многие в комментариях его начали высмеивать в том, что глупо было хранить все средства на кошельках биржи, с чем он согласился, однако такое его решение объяснялось тем, что биржа делится прибылью от торговых оборотов с держателями токенов пропорционально их количеству на биржевых кошельках. Поэтому храня средства на кошельках биржи, он получал пассивный доход. 

Представители COSS категорический отрицают свою вину и заявили, что у хакера был пароль пострадавшего и поэтому он сам виноват в случившемся. 

«Конечно, легче всего обвинить пострадавшего и возложить на него ответственность за кражу. Но я в этой отрасли с 2011 года и прекрасно понимаю, как необходимо защищать свои данные», - прокомментировал Blainchainified. «Я не использую компьютеры с операционной системой Windows, я не использую двухфакторую аутентификацию с помощью SMS. В этих вопросах я очень дотошный».

Далее в своем обращении пользователь объясняет, что даже если его пароль был скомпрометирован и хакер его узнал, у него была защита 2FA, которая устанавливалась как раз на этот случай. 

«Недавно я получил ответ от COSS, в котором говорится, что атака на биржу все же была произведена. С 25000-го раза хакеру удалось подобрать пароль 2FA, генерируемый приложением Google Authentication, при помощи метода «полного перебора» (brute force)», - продолжает свой пост Blainchainified.

Хакеру удалось обойти защиту 2FA криптовалютной биржи COSS с помощью брутфорса

Пользователь настаивает на то, что вина в данном случае лежит полностью на бирже, потому что даже если его пароль был скомпрометирован, то обойти 2FA удалось исключительно из-за атаки, которую допустила COSS. 

«Если бы проблема была в самой защите 2FA, компания Google столкнулась бы с серьезными проблемами и жалобами со стороны своих пользователей. Вся индустрия превратилась бы в хаос. Биржи в таком случае понесут убытки на миллиарды долларов, а это приведет к значительным потерям во всей отрасли», - заявил Blainchainified. 

И все же Blainchainified готов разделить вину и в связи с этим требует у биржи вернуть половину украденных средств. 

Активы, которые у него были на момент взлома: 

  • 11 700 000 токенов COSS (~$820 000)

  • ~14 BTC

  • ~ 22 ETH

  • 19 000 EOS, которые хакеру украсть не удалось. 

«COSS должна нести ответственность за случившееся, поскольку кражу позволила провести внутренняя уязвимость платформы», - закончил свое обращение к COSS пострадавший. 

В конце Blainchainified призвал все криптовалютные биржи включить дополнительную функцию безопасности для защиты средств — это торговый пароль. В таком случае взломщику не удастся продать активы пользователей, даже если он сможет скомпрометировать пароль от аккаунта и обойти защиту 2FA.

Вам также может понравиться

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *