网站被黑，黑客窃取 3400 万美元的加密货币

在接受彭博电视采访时，Crypto.com 首席执行官 Kris Marszalek 承认有 400 个客户账户遭到黑客攻击。 他说，他的团队检测到来自这些账户的未经授权的交易，但他们立即解决了这个问题，并全额补偿了受影响的用户。 现在，该公司发布了一份报告，披露了其尸检调查的细节。 显然，有 483 个账户受到影响，未经授权的提款总额为 4836.26 ETH、443.93 BTC 和约 66,200 美元的其他货币。 根据当前汇率，ETH 损失 1530 万美元，ETC 损失 1870 万美元，总计损失 3400 万美元。

在该公司透露黑客损失资金的程度之前，区块链安全分析公司 PeckShield Inc. 表示，Crypto.com 可能已经损失了价值 1500 万美元的加密货币。 丢失的硬币中至少有 4,600 枚是以太币，据说其中一半已被清洗——这一过程混淆了硬币交易的痕迹。 与此同时，比特币研究公司 OXT Research 表示，该公司的损失可能高达 3300 万美元。

该报告解释说，该公司的风险监控系统几天前检测到未经授权的活动，其中少数账户的交易在没有双因素身份验证的情况下获得批准。 结果，该加密货币交易所于 1 月 16 日晚暂停了提款。事实上，人们在他们的 Twitter 公告的评论中透露黑客盗取比特币，即使他们启用了 2FA，他们的资金也被盗了。

在 1 月 17 日发布的另一条推文中，Marszalek 表示“没有客户资金丢失”，公司的基础设施停机了 14 个小时，他的团队加强了安全措施以应对所发生的事情。 在最后一部分的详细说明中，报告显示 Crypto.com 撤销了所有客户的 2FA 令牌，并实施了额外的安全措施，要求所有账户用户重新登录。 该公司表示此举是必要的，因为它迁移到全新的 2FA 基础设施。 但是黑客盗取比特币，它打算最终摆脱 2FA，转向真正的多因素身份验证 (MFA)。

Crypto.com 还引入了一项额外的安全措施，要求用户等待 24 小时才能退出到新注册的白名单地址。 最后，该公司于 2 月 1 日推出了全球账户保护计划 (WAPP)，为希望为其资金提供额外保护的用户提供保护。

如果第三方获得对用户帐户的访问权限，WAPP 最多可以收回参与用户的 250,000 美元资金。 也就是说，要获得该计划的资格，用户必须对所有交易类型启用多重身份验证，并且不能使用越狱设备。 为了能够根据该计划收回资金，他们必须在未经授权的交易前至少 21 天设置反网络钓鱼代码，提交警方报告并向 Crypto.com 提供副本，并完成调查问卷以支持法医调查。