На портале Reddit появилось сообщение от пользователя с ником Blainchainified, в котором он рассказал как у него 14 октября из-за уязвимости в системе безопасности криптовалютной биржи COSS украли все его цифровые активы. Сотрудники биржи сейчас пытаются обвинить в случившемся пострадавшего.
«Я проснулся утром, включил ноутбук, проверил почту и увидел огромное количество писем от COSS, которые сообщали о неудавшейся авторизации в мой аккаунт на бирже», - начал свое обращение пользователь с ником Blainchainified.
Он также отметил, что у него были подключены все возможные способы защиты от взлома, поэтому говорить о том, что вина за взлом лежит полностью на нем, по крайней мере будет не совсем корректно.
«Когда я зашел на свой аккаунт, то обнаружил, что все мои криптовалюты и цифровые токены были проданы по заниженным ценам», - продолжает пострадавший.
Пользователь сразу обратился в поддержку, чтобы сообщить о случившемся, а также написал на Reddit и в Telegram-группе биржи. Многие в комментариях его начали высмеивать в том, что глупо было хранить все средства на кошельках биржи, с чем он согласился, однако такое его решение объяснялось тем, что биржа делится прибылью от торговых оборотов с держателями токенов пропорционально их количеству на биржевых кошельках. Поэтому храня средства на кошельках биржи, он получал пассивный доход.
Представители COSS категорический отрицают свою вину и заявили, что у хакера был пароль пострадавшего и поэтому он сам виноват в случившемся.
«Конечно, легче всего обвинить пострадавшего и возложить на него ответственность за кражу. Но я в этой отрасли с 2011 года и прекрасно понимаю, как необходимо защищать свои данные», - прокомментировал Blainchainified. «Я не использую компьютеры с операционной системой Windows, я не использую двухфакторую аутентификацию с помощью SMS. В этих вопросах я очень дотошный».
Далее в своем обращении пользователь объясняет, что даже если его пароль был скомпрометирован и хакер его узнал, у него была защита 2FA, которая устанавливалась как раз на этот случай.
«Недавно я получил ответ от COSS, в котором говорится, что атака на биржу все же была произведена. С 25000-го раза хакеру удалось подобрать пароль 2FA, генерируемый приложением Google Authentication, при помощи метода «полного перебора» (brute force)», - продолжает свой пост Blainchainified.
Пользователь настаивает на то, что вина в данном случае лежит полностью на бирже, потому что даже если его пароль был скомпрометирован, то обойти 2FA удалось исключительно из-за атаки, которую допустила COSS.
«Если бы проблема была в самой защите 2FA, компания Google столкнулась бы с серьезными проблемами и жалобами со стороны своих пользователей. Вся индустрия превратилась бы в хаос. Биржи в таком случае понесут убытки на миллиарды долларов, а это приведет к значительным потерям во всей отрасли», - заявил Blainchainified.
И все же Blainchainified готов разделить вину и в связи с этим требует у биржи вернуть половину украденных средств.
Активы, которые у него были на момент взлома:
-
11 700 000 токенов COSS (~$820 000)
-
~14 BTC
-
~ 22 ETH
-
19 000 EOS, которые хакеру украсть не удалось.
«COSS должна нести ответственность за случившееся, поскольку кражу позволила провести внутренняя уязвимость платформы», - закончил свое обращение к COSS пострадавший.
В конце Blainchainified призвал все криптовалютные биржи включить дополнительную функцию безопасности для защиты средств — это торговый пароль. В таком случае взломщику не удастся продать активы пользователей, даже если он сможет скомпрометировать пароль от аккаунта и обойти защиту 2FA.