Jeudi matin, Crypto.com a admis avoir perdu 34,65 millions de dollars en espèces, en bitcoins et en éther lors d’une attaque qui a permis de grosses transactions en contournant l’authentification à deux facteurs (2FA). Après avoir fait allusion aux chiffres définitifs de cette semaine, Crypto.com a publié une déclaration officielle sur l’incident, suspendant la capacité des utilisateurs à retirer des fonds. La société a déclaré lundi que 483 utilisateurs étaient concernés par l’interdiction de retrait de crypto-monnaies de leurs comptes. Environ 14 millions de dollars en éther, un peu plus de 17 millions de dollars en bitcoins et 66 200 dollars en autres crypto-monnaies ont été retirés lors de l’événement.
Près de 483 clients touchés
Les utilisateurs se sont plaints au cours du week-end que leurs comptes avaient été vidés et l’échange de crypto-monnaies a initialement nié le vol. Dimanche, Crypto.com a tweeté “un petit nombre d’utilisateurs signalent une activité suspecte sur leurs comptes”, mais que “tous les fonds sont en sécurité”. Lundi, le PDG de la société, Kris Marszalek, a réitéré l’annonce dans un tweet “aucun fonds client n’a été perdu”.
Depuis lors, Crypto.com a admis que, oui, un incident a bien eu lieu et la perte totale est supérieure à 30 millions de dollars, bien plus que prévu à l’origine, mais tous les clients ont été remboursés. La société a également déclaré que les voleurs avaient réussi à violer le système 2FA (double authentification) de l’échange. Bien que les clients aient signalé des pertes au cours du week-end, la déclaration de Crypto.com jeudi indique que le vol a eu lieu vers 12h46 UTC lundi.
À ce moment-là, le système de surveillance des risques de la plateforme a détecté des transactions non autorisées à partir de 483 comptes et les a approuvées sans authentification d’utilisateur 2FA. La société n’a pas immédiatement répondu à la demande de Threatpost pour des éclaircissements ou pour mettre à jour l’enquête.
Crypto.com a immédiatement suspendu les retraits sur la plateforme pendant l’enquête.
Des mesures prises immédiatement
L’échange a entièrement restauré les comptes concernés, révoqué toutes les transactions 2FA et ajouté des mesures supplémentaires de renforcement de la sécurité obligeant tous les clients à se reconnecter et à configurer leur 2FA. Les retraits ont été suspendus pendant environ 14 heures et ont repris mardi à 17h46 UTC. Avant que les retraits ne soient bloqués, Crypto.com a perdu 836,26 ETH et 443,93 BTC jeudi après-midi, soit environ 15,54 millions de dollars d’Éther et 19,04 millions de dollars de Bitcoin. L’échange a indiqué qu’il avait également perdu 66 200 dollars dans d’autres devises.
Le PDG de Crypto.com, Kris Marszalek, a reconnu le vol dans une interview avec Bloomberg Online mercredi et a confirmé qu’environ 400 comptes d’utilisateurs avaient en effet été compromis et que des fonds avaient été épuisés. À ce moment-là, Marszalek n’a pas précisé comment les hackers avaient violé la vulnérabilité de la plateforme.
Il a minimisé la valeur des fonds perdus, affirmant “il ne faut pas oublier que ces valeurs ne sont pas particulièrement importantes compte tenu de la taille de l’entreprise”, ajoutant que “les fonds des clients n’ont jamais été menacés”. Crypto.com s’est dit “très prudent” concernant son 2FA actuel et souhaite migrer vers une “nouvelle infrastructure 2FA”.
“Nous avons des politiques 2FA obligatoires en amont et en aval pour protéger les utilisateurs pendant cette phase de révocation, car les transactions telles que les retraits doivent être configurés et le 2FA utilisé ».
Mardi, Crypto.com a également introduit une couche de sécurité supplémentaire, ajoutant une période obligatoire de 24 heures entre l’enregistrement d’une nouvelle adresse de retrait sur liste blanche et le premier délai de retrait.
