Пользователь Reddit под ником “blockchainified” рассказал историю о том, как он при загадочных обстоятельствах лишился криптовалютных накоплений, которые хранил на бирже COSS. Сама биржа факт инцидента не отрицает.
С его слов, взлом был произведён 14 октября, когда он проснулся и обнаружил в своём почтовом ящике несколько тысяч писем от COSS о попытках неудачного логина в его аккаунт, защищённый при помощи двухфакторной аутентификации.
Как нетрудно догадаться, проверка остатка по счёту показала, что он пуст. При этом выяснилось, что все активы были ликвидированы на низколиквидных рынках по курсам, значительно уступающим тем, на которые можно было бы рассчитывать при их более грамотном распределении.
Добычей злоумышленников стали 11 700 000 токенов COSS, 14 биткоинов, 19 000 EOS и 22 ETH. Оправдывая необходимость хранения всех этих активов на бирже, вопреки рекомендациям о преимуществах индивидуального хранения, пользователь пишет, что получал неплохой доход с комиссий, которые биржа разделяет с держателями своих токенов.
COSS прокомментировала ситуацию публично в своём блоге, где написала, что чрезвычайно серьёзно относится к вопросу безопасности пользователей, «однако результаты расследования показали, что пароль пользователя был скомпрометирован за пределами COSS; пароль пользователя ни на каком из этапов не был получен из систем биржи».
Недоумение автора сообщения и комментаторов вызывает метод, с помощью которого был взломан его аккаунт. «Мы пришли к заключению, что пароль был введён четыре раза, после чего на пятой попытке он был принят системой, когда был сгенерирован ключ для двухфакторной аутентификации», – пишет биржа. «Логи электронных писем показывают, что 2FA-ключ был подставлен при помощи брутфорса путём перебора 25 000 значений».
Не совсем понятно, почему биржа допустила возможность перебора 25 000 значений. Более типичной для индустрии криптовалют является ситуация, когда владелец аккаунта несколько раз неправильно вводит пароль/2FA-код, после чего месяцами не может восстановить доступ к аккаунту, но не наоборот.
Пользователь признаёт, что часть ответственности лежит на нём, поскольку он изначально решил хранить криптовалюту на бирже, но и не снимает вины с COSS, которая, очевидно, устроена таким образом, чтобы хакеры могли попрактиковаться на методах из прошлого. Таким образом, он призывает биржу вернуть по крайней мере половину похищенных средств.
Изначально хакер не смог вывести средства в EOS из-за перебоев в работе ноды, которые и остались на счёте пользователя. Кроме того, биржа подтвердила, что восстановила 163 000 похищенных COSS. Позднее CEO биржи Рун Эвенсен сообщил, что им удалось вернуть «почти 11 млн COSS, поэтому вы получите намного больше, чем 50%, о которых просили изначально».
Примечательно, что к настоящему моменту биржа установила ограничение на количество неправильных попыток ввода 2FA-ключа и после нескольких раз выдаёт сообщение: «2FA_LIMIT».
