Verdächtige Aktivitäten bei Crypto.com

Danke für die Info. :grinning_face_with_smiling_eyes: Wer ne halbe Milliarde für die Namensrechte des ehem. Staple-Center ausgibt, der kann sich 15 Millionen sicher leisten :face_with_monocle::ok_hand:

2 Beiträge wurden in ein neues Thema verschoben: Bitcoin von Crypto[.]com zur Bitbox senden

Unser Report ist live:

https://crypto.com/product-news/crypto-com-security-report-next-steps

TL;DR

  • Das 2FA System wurde umgangen
  • 483 Nutzer waren betroffen
  • Unautorisiert abgehoben wurden 4,836.26 ETH, 443.93 BTC ca. 66.200 USD in anderen Coins/Token
  • Auszahlungen wurden umgehend gesperrt
  • Betroffene Accounts wurden umgehend wiederhergestellt
  • Nach 14 Stunden waren Auszahlungen wieder möglich
7 „Gefällt mir“

Danke für die Rückmeldung hier im Forum!

Also ca. 15 M$ in ETH und nochmal knapp 19 M$ in BTC. Macht zusammen 34 M$.

Was bedeutet „wiederhergestellt“, wurden diese Nutzer von Crypto(.)com entschädigt?

Mir ist schon klar, dass es darauf keinen Anspruch gibt. Aber es wäre natürlich ein starkes Zeichen.

Kurze Antwort: Ja, die User wurden sofort von uns entschädigt.

Lange Antwort für Überkorrekte: Man kann darüber streiten, wem das Crypto nun gehörte, welches entwendet wurde. Alles Crypto von Nutzern wird bei uns in Cold Wallets aufbewahrt. Daher auch die Ausdrucksweise weiter oben, dass keine Userfunds gestohlen wurden. Denn wenn sie vom Hot Wallet abgehoben wurden, dann gehörten sie ja technisch gesehen nicht dem Nutzer, richtig? :wink:
Der hatte nur eine „temporär falsche Darstellung des Kontostandes“.

Ich würde es jedenfalls lieber kurz halten und keine unnötigen Erbsen zählen. Also ja, allen betroffenen Nutzern wurden die Schäden umgehend von uns ersetzt und wir haben Maßnahmen ergriffen, die Lücke zu schließen.

7 „Gefällt mir“

Sehr gut :slight_smile:

:+1:

Heutzutage ist einfach noch Fakt: Not your Keys, not your Coins.

Das muss jedem bewusst sein. Wer weiß was sich alles in Zukunft durch Regulierung noch ändert. Andererseits sieht man an eurem Beispiel, dass das auch „der Markt regeln“ kann. Euer Verhalten wird sicher viele aktuelle und potentielle Kunden beeindrucken.

Vielleicht gibt es ja sogar auch unabhängig von Regulierung irgendwann eine Art Rückversicherer, bei denen sich die Börsen gegen Hacks versichern können. Falls es das heute nicht schon gibt?
Als Kunde würde man dann mit Sicherheit zu einer Börse gehen, die eine solche Einlagensicherung für Kryptos bietet.

Diese übliche Geschwurbel, an dem ewig herumgedoktert wird, bis es sich gut anhört aber schwammig genug ist, so dass juristisch auf keinen Fall etwas Falsches gesagt wird, gehört halt leider überall mit dazu. :slightly_smiling_face:

Wir haben bereits eine Versicherung von aktuell 750 Millionen USD.

Dazu kommt noch ab Februar eine zusätzliche Absicherung bis 250.000 USD pro Nutzer. Die Details stehen noch nicht fest.

5 „Gefällt mir“

Crypto dot com entwickelt sich langsam zu meiner liebsten Börsen. Die Entwicklungen und der Kundensupport sind wirklich toll. Mit Cashback und allem…

Genau das scheint ja crypto(.)com von Hause aus zu haben und weiter ausbauen zu wollen. Also so steht es zumindest im Blocktrainerartikel.

„Als nächsten Schritt führt das Unternehmen eine Art Einlagensicherung für qualifizierte Nutzer ein. Das sogenannte Worldwide Account Protection Program (WAPP) soll Kunden, die, durch den unbefugten Zugang Dritter, Gelder verloren haben, entschädigen.“

@Greg_Crypto.com
Erstmal Kompliment für eure professionelle Reaktion auf den Hack und dass ihr die Betroffenen sofort entschädigt habt. Euer Security Monitoring scheint ja relativ gut funktioniert zu haben und hat wohl Schlimmeres verhindert. Eure daraus resultierenden Maßnahmen gefallen mir auch sehr gut (WAPP, Verzögerung von 24h beim Whitelisting von Auszahladressen). :+1:
Auch wenn einige Deiner Kollegen ein paar graue Haare bekommen haben dürften, unterm Strich würde ich sagen, hat das dem Vertrauen in Crypto[.]com nicht geschadet.

Mich persönlich würde natürlich interessieren, was da technisch genau passiert ist. :wink:
Waren die Zugangsdaten der Accounts bereits geleaked und man hat dann geschafft, die 2FA zu umgehen? Oder hat ein Bug im 2FA dazu geführt, dass die Angreifer direkt ohne Zugangsdaten in die Konten vordringen konnten? Letzteres wäre natürlich ein gruseliges Szenario, da 2FA ja eigentlich ein Security Layer hinzufügen soll und keine neuen Löcher schaffen soll. Und ich frage mich, ob so ein Bug dann weitere Kreise ziehen könnte. Ich vermute mal, ihr habt 2FA nicht selber entwickelt, sondern zugekauft oder eine Open Source Lösung integriert (z.B. privacyidea, authelia, gluu, keycloak…). Dann könnten auch noch ganz andere Anwender betroffen sein. Mir ist da aus jüngster Vergangenheit die log4j Sicherheitslücke noch in Erinnerung…

Ich interessiere mich für IT-Security und deshalb würde mich interessieren, wie der Hack aus technischer Sicht passieren konnte. Und andere 2FA Anwender könnten davon lernen. Aber ich hätte durchaus Verständnis, wenn Du da nicht näher drauf eingehen willst, weil Du die Details entweder selber gar nicht kennst oder ihr keine genaueren Details preisgeben wollt.

1 „Gefällt mir“

Leider habe ich auch nicht mehr Informationen, als im offiziellen Report genannt wurden :sweat_smile:
Sicherlich wird der Aufbau unserer Infrastruktur auch nicht genannt werden, um Angriffe zu erschweren.