Verdächtige Aktivitäten bei Crypto.com

mapleloopsong · 18. Januar 2022 um 21:10

Danke für die Info. Wer ne halbe Milliarde für die Namensrechte des ehem. Staple-Center ausgibt, der kann sich 15 Millionen sicher leisten

skyrmion · 19. Januar 2022 um 09:54

2 Beiträge wurden in ein neues Thema verschoben: Bitcoin von Crypto[.]com zur Bitbox senden

Greg_Crypto.com · 20. Januar 2022 um 07:16

Unser Report ist live:

https://crypto.com/product-news/crypto-com-security-report-next-steps

TL;DR

Das 2FA System wurde umgangen
483 Nutzer waren betroffen
Unautorisiert abgehoben wurden 4,836.26 ETH, 443.93 BTC ca. 66.200 USD in anderen Coins/Token
Auszahlungen wurden umgehend gesperrt
Betroffene Accounts wurden umgehend wiederhergestellt
Nach 14 Stunden waren Auszahlungen wieder möglich

skyrmion · 20. Januar 2022 um 08:28

Danke für die Rückmeldung hier im Forum!

Also ca. 15 M$ in ETH und nochmal knapp 19 M$ in BTC. Macht zusammen 34 M$.

Was bedeutet „wiederhergestellt“, wurden diese Nutzer von Crypto(.)com entschädigt?

Mir ist schon klar, dass es darauf keinen Anspruch gibt. Aber es wäre natürlich ein starkes Zeichen.

Greg_Crypto.com · 20. Januar 2022 um 08:51

Kurze Antwort: Ja, die User wurden sofort von uns entschädigt.

Lange Antwort für Überkorrekte: Man kann darüber streiten, wem das Crypto nun gehörte, welches entwendet wurde. Alles Crypto von Nutzern wird bei uns in Cold Wallets aufbewahrt. Daher auch die Ausdrucksweise weiter oben, dass keine Userfunds gestohlen wurden. Denn wenn sie vom Hot Wallet abgehoben wurden, dann gehörten sie ja technisch gesehen nicht dem Nutzer, richtig?
Der hatte nur eine „temporär falsche Darstellung des Kontostandes“.

Ich würde es jedenfalls lieber kurz halten und keine unnötigen Erbsen zählen. Also ja, allen betroffenen Nutzern wurden die Schäden umgehend von uns ersetzt und wir haben Maßnahmen ergriffen, die Lücke zu schließen.

renna · 20. Januar 2022 um 08:52

Sehr gut

skyrmion · 20. Januar 2022 um 09:00

Heutzutage ist einfach noch Fakt: Not your Keys, not your Coins.

Das muss jedem bewusst sein. Wer weiß was sich alles in Zukunft durch Regulierung noch ändert. Andererseits sieht man an eurem Beispiel, dass das auch „der Markt regeln“ kann. Euer Verhalten wird sicher viele aktuelle und potentielle Kunden beeindrucken.

Vielleicht gibt es ja sogar auch unabhängig von Regulierung irgendwann eine Art Rückversicherer, bei denen sich die Börsen gegen Hacks versichern können. Falls es das heute nicht schon gibt?
Als Kunde würde man dann mit Sicherheit zu einer Börse gehen, die eine solche Einlagensicherung für Kryptos bietet.

Diese übliche Geschwurbel, an dem ewig herumgedoktert wird, bis es sich gut anhört aber schwammig genug ist, so dass juristisch auf keinen Fall etwas Falsches gesagt wird, gehört halt leider überall mit dazu.

Greg_Crypto.com · 20. Januar 2022 um 09:39

Wir haben bereits eine Versicherung von aktuell 750 Millionen USD.

Dazu kommt noch ab Februar eine zusätzliche Absicherung bis 250.000 USD pro Nutzer. Die Details stehen noch nicht fest.

mapleloopsong · 20. Januar 2022 um 09:45

Crypto dot com entwickelt sich langsam zu meiner liebsten Börsen. Die Entwicklungen und der Kundensupport sind wirklich toll. Mit Cashback und allem…

TynHau · 20. Januar 2022 um 09:56

HODLer · 20. Januar 2022 um 10:07

Genau das scheint ja crypto(.)com von Hause aus zu haben und weiter ausbauen zu wollen. Also so steht es zumindest im Blocktrainerartikel.

„Als nächsten Schritt führt das Unternehmen eine Art Einlagensicherung für qualifizierte Nutzer ein. Das sogenannte Worldwide Account Protection Program (WAPP) soll Kunden, die, durch den unbefugten Zugang Dritter, Gelder verloren haben, entschädigen.“

Franky123 · 20. Januar 2022 um 11:11

@Greg_Crypto.com
Erstmal Kompliment für eure professionelle Reaktion auf den Hack und dass ihr die Betroffenen sofort entschädigt habt. Euer Security Monitoring scheint ja relativ gut funktioniert zu haben und hat wohl Schlimmeres verhindert. Eure daraus resultierenden Maßnahmen gefallen mir auch sehr gut (WAPP, Verzögerung von 24h beim Whitelisting von Auszahladressen).
Auch wenn einige Deiner Kollegen ein paar graue Haare bekommen haben dürften, unterm Strich würde ich sagen, hat das dem Vertrauen in Crypto[.]com nicht geschadet.

Mich persönlich würde natürlich interessieren, was da technisch genau passiert ist.
Waren die Zugangsdaten der Accounts bereits geleaked und man hat dann geschafft, die 2FA zu umgehen? Oder hat ein Bug im 2FA dazu geführt, dass die Angreifer direkt ohne Zugangsdaten in die Konten vordringen konnten? Letzteres wäre natürlich ein gruseliges Szenario, da 2FA ja eigentlich ein Security Layer hinzufügen soll und keine neuen Löcher schaffen soll. Und ich frage mich, ob so ein Bug dann weitere Kreise ziehen könnte. Ich vermute mal, ihr habt 2FA nicht selber entwickelt, sondern zugekauft oder eine Open Source Lösung integriert (z.B. privacyidea, authelia, gluu, keycloak…). Dann könnten auch noch ganz andere Anwender betroffen sein. Mir ist da aus jüngster Vergangenheit die log4j Sicherheitslücke noch in Erinnerung…

Ich interessiere mich für IT-Security und deshalb würde mich interessieren, wie der Hack aus technischer Sicht passieren konnte. Und andere 2FA Anwender könnten davon lernen. Aber ich hätte durchaus Verständnis, wenn Du da nicht näher drauf eingehen willst, weil Du die Details entweder selber gar nicht kennst oder ihr keine genaueren Details preisgeben wollt.

Greg_Crypto.com · 20. Januar 2022 um 21:19

Leider habe ich auch nicht mehr Informationen, als im offiziellen Report genannt wurden
Sicherlich wird der Aufbau unserer Infrastruktur auch nicht genannt werden, um Angriffe zu erschweren.