Primer lanzamiento | Seguimiento de "¿Adónde van los 336 BTC?": Análisis adicional del incidente de robo de billetera de intercambio Cashaa

Ha pasado aproximadamente una semana desde el último "ataque" a Cashaa, el fundador y CEO de Cashaa The oficial reveló más detalles del incidente de robo, que se describirá en detalle a continuación.

Revisión de eventos

A las 8:10 a. m., hora de Beijing, del 11 de julio, el sistema CertiK Skynet (Skynet) detectó transacciones anormales en el intercambio de Cashaa en los bloques de Bitcoin 638606 y 638692. Los investigadores de seguridad intervinieron rápidamente en la investigación y estudiaron en detalle el objetivo del atacante de Cashaa. La billetera Bitcoin propiedad del intercambio lanzó el proceso de ataque dos veces.

Posteriormente, CertiK publicó por primera vez noticias e información relevantes sobre Jinse Finance y otros medios.

El primer ataque ocurrió a las 6:57 p. m. hora de Beijing el 10 de julio. Una de las billeteras bitcoin de la víctima Cashaa

1Jt9mebBwqCk8ijrVDoT5aySu2q9zpeKde fue comprometido y enviado a la cuenta del atacante

14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek transfirió 1.05977049 BTC (alrededor de $9800). El atacante de alguna manera comprometió la computadora de la víctima, la billetera Bitcoin de la víctima en Blockchain.info fue robada y BTC fue transferido a la cuenta del atacante. El segundo ataque ocurrió a las 8:10 a.m., hora de Beijing, el 11 de julio. El atacante transfirió un total de 8 billeteras bitcoin de la víctima Cashaa, con un total de 335.91312085 bitcoins (alrededor de 3,1 millones de dólares estadounidenses), a la misma billetera a través de los mismos medios Una dirección 14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek.

BTC superó la marca de los $17 700 y cayó un 0,96 % en el día: los datos de Huobi Global muestran que BTC ha subido a corto plazo, superando la marca de los $17 700, y ahora cotiza a $17 700,77, con una caída intradiaria del 0,96 %. el mercado fluctúa mucho, así que haga un buen trabajo en el control de riesgos. [2020/11/19 21:17:18]

Declaración oficial y análisis

Según la declaración oficial de Cashaa sobre el incidente, el ataque ocurrió cuando los atacantes se infiltraron en las computadoras de los empleados de "Cashaa India Over-the-counter" (OTC, de venta libre), manipularon las computadoras y robaron el dinero de la víctima. en la cuenta. Un gerente comercial OTC en el este de Delhi, India, ha sido vinculado al primer ataque el 10 de julio. Ya el 8 de julio, el empleado informó que la máquina que le entregó la empresa no funcionaba bien, por lo que solicitó operarla con su propia computadora personal. Con el fin de garantizar la experiencia del usuario, Cashaa, que nunca ha permitido el uso de computadoras personales, accedió a esta solicitud a través de una resolución de la gerencia.

La declaración oficial de Cashaa indicó que el atacante controlaba la computadora a través de las sesiones activas en el navegador de la computadora atacada. Los métodos de ataque actualmente confirmados incluyen phishing, virus y otros métodos de ataque, pero el funcionario no ha confirmado el método de ataque final. Después de que los bitcoins robados se transfirieron a la dirección 14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek, finalmente se transfirieron a varias direcciones de billetera. Después de que Cashaa recibió el informe del incidente del empleado, inmediatamente abrió una investigación interna e hizo un informe a la Oficina de Delitos Cibernéticos de Delhi (Delhi Cyber ​​​​Crime Bureau), número de informe 20807200031555.

Al mismo tiempo, Cashaa también informó a su comunidad y a los intercambios de divisas digitales relacionados, compartiendo la dirección de la billetera Bitcoin del hacker. Entre otras cosas, Cashaa informó a todos los principales intercambios, incluidos WazirX, Binance, CoinDCX y Bitbns, y los instó a monitorear todas las transacciones asociadas con esta dirección. Después del ataque, la computadora atacada fue sellada como evidencia de investigación y los empleados involucrados fueron suspendidos temporalmente hasta que se complete la investigación.

Después del incidente, Cashaa también convocó a la junta directiva para discutir, pero hasta el momento no hay un anuncio oficial sobre cómo hacer la compensación. Se espera que los funcionarios anuncien todos los detalles, incluidos los métodos de ataque y los métodos de compensación, para fines de julio. En ese momento, CertiK seguirá rastreando y analizando el incidente.

Apoyo a la comunidad

Altos ejecutivos de intercambios como ZebPay, WazirX, CoinDCX y Bitbns han tuiteado su apoyo a Cashaa en Twitter, diciendo que tomarán todas las precauciones necesarias para garantizar que los fondos estén en su No hay flujo al alcance.

Hay rumores en la comunidad de que el incidente fue cometido por un empleado interno. Con respecto a este tema, Cashaa cree que el incidente no debería haber sido cometido por un empleado interno según los comentarios de la compañía de investigación de delitos digitales que investigó el incidente. Como la investigación aún no ha concluido, aún no es posible sacar una conclusión sobre el ataque. Después del ataque, Cashaa anunció que cooperará con las empresas contra el lavado de dinero (AML, anti-money laundering) para personalizar herramientas AML exclusivas en cadena para ayudar a reducir los delitos de moneda digital.

Precauciones

El sistema operativo complejo, el navegador y el entorno de red del entorno de la transacción generarán grandes riesgos de seguridad en la transacción. En la actualidad, la mayoría de las billeteras basadas en la plataforma de telefonía móvil (MTK) en China pueden ser atacadas.

Al exportar el firmware de la billetera, no solo puede ver la información de caché de varias monedas, sino también encontrar varias bibliotecas para generar palabras mnemotécnicas. Bajo el principio de anteponer los negocios, muchos equipos de desarrollo no prestan la misma atención a la seguridad de sus propios productos de billetera.

Una vez que ocurre un problema de seguridad, provocará el robo de la moneda de su cuenta a una gran cantidad de usuarios. Una vez que se roban los bienes, no se pueden reportar como perdidos y son difíciles de recuperar.

El equipo de CertiK ha resumido las siguientes recomendaciones:

El ataque de moneda digital es un ataque integral de múltiples dimensiones técnicas. Es necesario considerar toda la seguridad de la aplicación involucrada en el proceso de gestión y circulación de moneda digital, incluido el hardware de la computadora, el software de cadena de bloques, el software de servicio de cadena de bloques como billeteras y contratos inteligentes. Por supuesto, no se pueden descartar algunos peligros de seguridad causados ​​por la poca conciencia de seguridad de los empleados, y este aspecto suele ser el más difícil de detectar para las personas y el más fácil de ignorar.

Los atacantes a menudo probarán los métodos de ataque que se adoptarán antes de lanzar ataques a gran escala. Por lo tanto, es necesario prestar atención a la detección y seguimiento de posibles métodos de ataque y no ser atacado por el mismo método varias veces.

Refuerce el método de protección de seguridad de las cuentas de moneda digital y use almacenamiento en frío fuera de línea cifrado físicamente (almacenamiento en frío) para guardar monedas digitales importantes. Muchos de los intercambios más destacados utilizan carteras de hardware o módulos de seguridad de hardware para almacenar y manejar los criptoactivos bajo administración. Si bien ningún sistema puede ser 100% seguro, es menos probable que un sistema de este tipo se vea comprometido.

Contrate a un equipo de seguridad profesional para realizar pruebas a nivel de red y busque lagunas simulando ataques de forma remota.

Por ejemplo, el equipo de CertiK simulará ataques de piratas informáticos en el entorno real para atacar la parte más débil del sistema y encontrar las lagunas y los eslabones débiles del sistema. El punto de entrada a un sistema podría ser una vulnerabilidad de ejecución remota de código en una aplicación web, una versión anterior de software que se ejecuta en un servidor o un empleado que ejecuta inadvertidamente una puerta trasera en un correo electrónico de phishing enviado por el equipo de prueba.

En el proceso de detección profesional de CertiK, todos los enlaces que puedan ser atacados, incluyendo la arquitectura del sistema y los empleados, serán revisados ​​y probados uno por uno, de modo que aunque solo haya un 0.00000000000001% de posibilidad de ser atacado, la posibilidad de ser atacado ya no existirá.

Tags：

UNI