I criminali informatici hanno continuato a escogitare nuovi vettori di attacco innovativi di cui molte importanti piattaforme crittografiche sono ancora preda. Ad esempio, Johnny Lyu, CEO dell’exchange di criptovalute con sede a Singapore KuCoin, dichiarato il 26 settembre lo scambio era stato oggetto di un grave attacco che ha portato al Bitcoin (BTC), Etere (ETH) e gli hot wallet ERC-20 interessati. Commentando l’hack, Charlie Cai, il media manager di KuCoin, ha detto a Cointelegraph:

“A seguito dell’incidente, KuCoin sta agendo in modo rapido e trasparente per affrontarlo. Stiamo facendo del nostro meglio per mitigare l’impatto dell’incidente lavorando con molti progetti blockchain, società di sicurezza e scambi di criptovalute “.

In tutto, si stima che KuCoin perso oltre $ 200 milioni di fondi dei clienti. Tuttavia, nonostante la violazione della sicurezza, il prezzo della maggior parte delle principali criptovalute, così come dei token DeFi, ha mostrato a malapena alcuna azione negativa nonostante il fatto che i principali hack, come questo, hanno tradizionalmente portato a svendite a livello di mercato.

Su un fronte più tecnico, Cai ha evidenziato che un totale di 130 milioni di token digitali rubati erano già stati protetti o in fase di recupero dal team di sicurezza KuCoin. A questo proposito, Cai ha inoltre affermato che Tether (USDT) ha congelato con successo un totale di 22 milioni di stablecoin USDT che erano stati compromessi, mentre anche Velo Labs ha annunciato che ridistribuirà e sostituirà ciascuno dei token VELO trasferiti come parte della rapina. Ha aggiunto: “I 122 milioni di token VELO (circa $ 75,7 milioni) che sono stati interessati saranno invalidati.”

Allo stesso modo, alcuni degli altri token che la società afferma di aver ottenuto da quando la questione è stata resa pubblica includono Silent Notary (SNTR), Covesting (COV), Orion Protocol (ORN), KardiaChain (KAI), NOIA Network (NOIA) e Opacità (OPQ).

Bandiere rosse affrontate da KuCoin

All’inizio di quest’anno, a marzo, KuCoin era al centro di una serie di controversie. Lo scambio di criptovalute stava affrontando la possibilità di un file azione legale collettiva che rivendicava KuCoin ha fornito ai propri clienti “dichiarazioni false e / o fuorvianti”. Allo stesso modo, come parte di un altro vestito – Chase Williams v. KuCoin – è stato affermato che il file exchange trattava titoli senza licenza, il che è illegale.

Inoltre, nello stesso periodo di tempo, il team KuCoin ha annunciato al mondo che lo sarebbe stato subendo una massiccia ristrutturazione aziendale che ha visto l’azienda cambiare il proprio marchio da un’entità registrata alle Seychelles a un’altra. Non solo, l’azienda ha anche nominato un nuovo amministratore che in precedenza non aveva un ruolo importante nello scambio. Non è ancora chiaro, nel frattempo, dove si trovi esattamente l’effettivo quartier generale di KuCoin.

Sulla base dei risultati di cui sopra, le persone hanno iniziato a mettere in dubbio la legittimità delle operazioni di KuCoin, con alcuni addirittura arrivando a dire che la piattaforma potrebbe essere una grande truffa di uscita. Affrontando queste preoccupazioni, Cai ha dichiarato: “KuCoin una vera piattaforma supportata da famosi VC. Già nel 2018, abbiamo ricevuto un investimento di 20 milioni di dollari da IDG e Matrix Partners. IDG è molto “esigente” quando investe in scambi crittografici. “

Cai ha quindi continuato a evidenziare i flussi di cassa di KuCoin, affermando che solo nell’agosto 2020, $ 13,35 miliardi sono stati scambiati tramite la piattaforma di trading spot della società, mentre $ 13,51 miliardi sono stati scambiati sulla piattaforma futures di KuCoin.

Gli esperti di sicurezza intervengono sulla questione

Per ottenere una visione più olistica dell’intera situazione, Cointelegraph ha contattato John Jefferies, l’analista finanziario capo di CipherTrace, una società di sicurezza incentrata sulla crittografia. Ha sottolineato che la maggior parte delle criptovalute rubate da KuCoin erano token ERC-20 che possono essere facilmente riciclati attraverso i protocolli DeFi.

Inoltre, vale la pena notare che dopo l’hack KuCoin, il miscredente procedette a trasferire migliaia di dollari valore di Synthetix Network Tokens (SNX) a Uniswap, il più grande scambio decentralizzato per valore totale bloccato. Si stima che gli hacker abbiano trasferito almeno $ 1,2 milioni in token SNX attraverso quattro distinti transazioni. A proposito, Jefferies ha dichiarato:

“Questo è stato il primo caso di alto profilo di un DEX, Uniswap, utilizzato come mixer di denaro. A differenza degli scambi centralizzati, un DEX non può congelare i fondi, solo i progetti specifici possono farlo. Un altro impatto significativo qui è che il furto dei token ha avuto un impatto diretto sulle aziende di questi token rubati, come Crypterium e Tether perché l’hack includeva token CRPT e Tether su blockchain EOS ed Ethereum “.

Madeleine Kennedy, senior director of communications di Chainalysis – una società globale di analisi delle criptovalute – ha sottolineato che la sua azienda ha scoperto che più di $ 275 milioni in fondi crittografici sono stati molto probabilmente compromessi, il che rende questo uno dei più grandi hack di uno scambio di criptovaluta in storia registrata. Inoltre, Chainalysis ha annunciato che lo era espandendo la sua presenza nella regione APAC all’indomani dell’hack.

Fornendo la sua opinione su come esattamente gli hacker siano stati in grado di facilitare con successo questa operazione, Kennedy ha sottolineato che hanno tentato di scambiare il maggior numero possibile di token ERC-20 negli scambi decentralizzati prima che i fondi fossero congelati dai contratti intelligenti o biforcati per invertire le transazioni :

“Alcuni fondi sono stati depositati negli exchange, altri in servizi di scambio di monete e altri ancora in DEX, ma gran parte dei fondi rimane non spesa. Gli indirizzi pertinenti sono indicati in Chainalysis Reactor, KYT e Kryptos e continuiamo a monitorare i loro movimenti “.

Un atteggiamento rilassato?

Nonostante i grandi passi avanti compiuti dai ricercatori di criptovaluta negli ultimi due anni, piattaforme come KuCoin sono ancora vittime di tali attacchi. Tuttavia, questo ultimo hack solleva una preoccupazione in quanto alcuni potrebbero chiedersi se l’industria crittografica stia facendo abbastanza per proteggersi.

Jefferies ha sottolineato che, allo stato attuale, solo le più grandi borse del mondo hanno la maturità di sicurezza delle istituzioni finanziarie tradizionali, che sono tipicamente soggette a regole di sicurezza e controlli. A questo proposito, è fermamente convinto che fino a quando i fornitori di servizi di asset virtuali più piccoli non saranno in grado di mostrare lo stesso livello di rigore delle loro controparti di servizi finanziari, non sarebbe raro vedere questo tipo di incidenti che si verificano. Delucidando i suoi pensieri in merito:

“VASP affidabili come Bitgo, Coinbase e Bitgo hanno subito l’estenuante controllo del sistema e dell’organizzazione, SOC2, audit che include sicurezza, riservatezza, integrità dell’elaborazione, privacy e disponibilità.”

Vale la pena ricordare che nel corso degli ultimi anni il settore della sicurezza ha sviluppato diversi standard di sicurezza per consentire ai clienti di decidere a chi affidare le proprie risorse. Le procedure di audit come SOC2 e ISO 27001 forniscono una rigorosa convalida esterna di tecnologie e processi. Binance e Crypto.com, ad esempio, affermano di adottare ISO 27001.

A proposito, Dyma Budorin, co-fondatrice e CEO di Hacken – un’azienda di sicurezza informatica orientata alla crittografia – ha detto a Cointelegraph che la maggior parte degli scambi oggi sono come scatole nere, ovvero nessuno sa come vengono gestite le loro chiavi private: “Solo pochi scambi di criptovalute come Kraken, Gemini e Binance stanno investendo molti soldi per dimostrare i controlli interni adeguati sui protocolli di gestione delle chiavi private personali.”

Un’opinione simile è condivisa da Tom Albright, CEO di Bittrex Global – uno scambio di criptovaluta – che ritiene che troppi scambi in questi giorni considerino la sicurezza come un inconveniente, aggiungendo:

“Man mano che sempre più investitori tradizionali vengono coinvolti nella crittografia, ci saranno partecipanti più vulnerabili nell’ecosistema e gli scambi devono fare ancora di più per proteggere questi clienti e aiutarli a proteggersi”.





Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here