Coinbase u centru incidenta - zaposleni otkrio podatke hakeru za mito

Na dugom spisku kripto-kompanija koje su bile mete hakerskih napada, nalazimo brojne primere finansijskih gubitaka daleko ozbiljnijih od onog s kojim se trenutno suočava Coinbase. Ali ovaj proboj dobija posebnu težinu koja prevazilazi finansijski udarac od 400 miliona dolara - na meti se našao dominantni lider američke kripto-scene.

Coinbase je bila prva kripto kompanija koja je listingom na berzi vodila digitalnu industriju u pravcu uključivanja u tradicionalni finansijski sistem. Pod njihovim nadzorom nalazi se pretežni deo bitcoin sredstava vrednih 122 milijarde dolara, koja čine osnovu spot bitcoin ETF-ova. Takođe, Coinbase je odigrao ključnu ulogu u ovogodišnjem lobiranju kripto-industrije, finansijski podržavajući kampanju za izbor kripto-prijateljskih zakonodavaca u Vašingtonu.

Otkrivanje hakerskog napada došlo je samo tri dana nakon što je Coinbase ostvario jedan od svojih najvećih uspeha u oblasti digitalnih sredstava - uključivanjem u prestižni indeks S&P 500. Ovaj korak znači da će njegove akcije biti uključene u penzione fondove i druge investicione proizvode vredne hiljade milijardi dolara, koji prate referentni berzanski indikator. Proboj, zajedno sa vešću o još uvek otvorenoj istrazi američke Komisije za hartije od vrednosti i berzu (SEC) u vezi sa izveštavanjem o broju korisnika, izazvao je u četvrtak pad akcija kompanije od preko sedam odsto.

Podmićeni zaposleni u kompaniji Coinbase

Iako u kompaniji tvrde da usluga Coinbase Prime - koja upravlja kripto-sredstvima za izdavaoce ETF-ova i druge institucionalne investitore - nije bila pogođena, hakeri su imali skoro neprekidan pristup nekim od najvrednijih podataka klijenata kripto-berze Coinbase još od januara, rekla je osoba upoznata sa incidentom, koja nije želela da bude imenovana.

Šema hakera bila je smelo osmišljena, iako tehnički ne posebno sofisticirana - podmitili su predstavnike službe za podršku korisnicima kako bi dobili podatke klijenata, a zatim zahtevali 20 miliona dolara otkupnine za njihovo brisanje. Neuobičajeno ponašanje kod nekih zaposlenih kompanija je počela da primećuje još u januaru, potvrdili su u razgovoru za Bloomberg News.

 

 

Zaposleni, koji su prihvatili mito, pristupali su imenima, datumima rođenja, adresama, državljanstvima, brojevima ličnih dokumenata, određenim bankarskim informacijama, kao i podacima o tome kada su korisnički računi kreirani i kakva su bila njihova stanja, objasnila je osoba upoznata sa događajem. Ovakve informacije bi mogle poslužiti hakerima da se lažno identifikuju kao Coinbase i navedu korisnike da im daju pristup svojim nalozima. Takođe bi mogli biti korišćeni za krađu identiteta kod drugih pružalaca usluga, gde bi se hakeri lažno predstavljali kao oštećeni korisnici.

Za neke trgovce sa većim sredstvima na berzi incident je bio posebno zabrinjavajući - ne samo zbog mogućih finansijskih gubitaka već i zbog fizičkih rizika. Podsetimo, ove godine je ubijen i osakaćen suosnivač jednog od kripto-startapova, a pojavile su se i druge slične priče.

Više slučajeva podmićivanja

"Radi se o ozbiljnom bezbednosnom proboju, količina izloženih ličnih podataka je zapanjujuća", rekao je Mike Dudas, partner u web3 kompaniji 6MV, koji je sam postao meta napadača. "Pored digitalne, ljudi će morati da budu na oprezu i u pogledu svoje lične bezbednosti, posebno nakon zastrašujućih slučajeva u Francuskoj i širom sveta."

Prema navodima osobe upoznate sa incidentom, hakeri su podmitili dovoljno predstavnika službe za podršku korisnicima da su u poslednjih pet meseci imali skoro trenutni pristup podacima klijenata Coinbasea. Šef bezbednosti u Coinbaseu Philip Martin odbacio je ove navode i u razgovoru za Bloomberg News naglasio da je kompanija predstavnicima trenutno blokirala pristup kada su utvrdili da neovlašćeno dele informacije. Zato napadači "nisu imali neprekidan pristup kroz čitavo trajanje incidenta", rekao je.

"Ovi napadači tražili su zaposlene i spoljne ugovarače Coinbasea u Indiji, povezane sa našim spoljnim izvođačima i službom podrške, i podmićivali ih za pristup podacima klijenata", objasnio je Martin. Coinbase je pomenute zaposlene identifikovao, odstranio i otpustio odmah po otkrivanju sumnje.

"Radilo se o više pojedinačnih slučajeva podmićivanja, za koje ovaj napadač sebi pripisuje zasluge, mada on zapravo nije ostvario neprekidan pristup tokom čitavog trajanja incidenta", dodaje Martin. Osoba koja je upoznata sa incidentom navela je da su hakeri još u sredu imali pristup podacima, a Martin je na to odgovorio: "Nemamo nikakvog razloga da verujemo da je to tačno", ali je istovremeno priznao da je "nemoguće dokazati da se nešto nije dogodilo".

Bloomberg

Poruke sa nepoznatih brojeva za pristup tokenima

Bloomberg News raspolaže podacima da je među pogođenima bila i veoma imućna osoba, čiji identitet ne otkrivaju zbog zaštite privatnosti. David Jeong, osnivač kripto-kompanije iz Njujorka, rekao je da je 3. aprila primio poruku sa nepoznatog broja, u kojoj su ga pozivali da potvrdi prijavu na svoj lični račun. Sličnu poruku primio je 4. maja, sa drugog broja. Jeong je dodao da već dve godine nije koristio jednokratne lozinke Coinbasea.

U zvaničnoj dokumentaciji dostavljenoj regulatornim telima, Coinbase je prijavio prijem anonimnog mejla sa ucenjivačkim zahtevom 11. maja. Dodali su da su već u mesecima pre toga primetili slučajeve kada su agenti korisničke podrške izvan SAD prikupljali podatke iz internih sistema. Proteklog vikenda, neki od premijum članova dobili su upozorenja da su njihovi podaci potencijalno bili kompromitovani.

"Kao deo Coinbase tima, neprestano vršimo nadzor naših sistema kako bismo garantovali da se podacima klijenata pristupa isključivo po potrebi i uvek pod strogim bezbednosnim protokolima. Želimo da vas obavestimo da smo otkrili aktivnost koja ukazuje da je neko verovatno pristupio podacima povezanim sa vašim nalogom na način koji krši naše interne protokole", navodi se u imejlu upućenom klijentima do kojeg je došao Bloomberg. 

"Pri tome nisu otkrivene vaše lozinke, sigurnosne reči (engl. seed phrase) ili druge informacije koje bi nekome omogućile direktan pristup vašem nalogu ili sredstvima", dodaje se.

Coinbase je u istoj poruci klijentima preporučio da "redovno prate svoj račun i koriste jaku i jedinstvenu lozinku". Kompanija je u četvrtak saopštila da je incident zahvatio manje od jedan odsto aktivnih korisnika koji posećuju berzu na mesečnom nivou. Osim implementacije dodatnih sigurnosnih protokola za ugrožene korisnike, Coinbase se obavezao na kompletnu kompenzaciju svim klijentima koji su pretrpeli novčane gubitke.  Umesto plaćanja otkupnine, Coinbase je ponudio 20 miliona dolara nagrade za informacije koje bi dovele do hapšenja i osude počinilaca.

Brojni upadi u kripto-berze

Kripto-industrija se već dugo suočava sa upadima, prvenstveno zbog visokog stepena anonimnosti korisnika i kompleksne programske infrastrukture. Prema podacima analitičke kompanije Chainalysis, 2024. godine je na ovaj način ukradeno približno 2,2 milijarde dolara. Posebno su ranjive kripto-berze, koje su zbog svoje uloge često glavne mete i zato snose visoke troškove za održavanje bezbednosnih sistema.

Radi se o takozvanom napadu sa socijalnim inženjeringom, gde napadači podatke ne dobijaju tehničkim upadima, već manipulacijom ljudi. Ovaj pristup postaje sve češći u kripto-sektoru i korišćen je i u februarskom upadu u berzu Bybit, gde je nestalo 1,5 milijardi dolara.

Prema procenama kompanije Elliptic, incident u Coinbaseu, čiji se ukupni troškovi - uključujući nadoknade korisnicima - procenjuju na oko 400 miliona dolara, rangiran je kao osmi najveći kripto-proboj u istoriji.

"Nažalost, u vreme kada naša mlada industrija brzo raste, sve više privlači pažnju zlonamernih aktera koji postaju sve sofisticiraniji u obimu svojih napada i koriste nove alate i tehnike veštačke inteligencije za zaobilaženje sistema za sprečavanje prevara", rekao je Nick Jones, osnivač i glavni izvršni direktor kripto-tehnološke platforme Zumo.

"Ovo predstavlja razumljivo veliki udarac za kompaniju koja se nalazila u odlučujućoj etapi svog razvoja tokom minulih sedmica."

 

 

U međuvremenu, New York Times je izvestio da američka Komisija za hartije od vrednosti i berzu istražuje da li je Coinbase u prošlosti pogrešno navodio broj svojih korisnika, i to u okviru istrage koja je započeta još u vreme Bidenove administracije.

"Radi se o istrazi iz prethodne administracije, povezanoj sa merilom koje ne izveštavamo već dve i po godine, o čemu smo obavestili javnost", naveo je u izjavi Paul Grewal, glavni pravni savetnik u Coinbaseu. "Iako smo uvereni da ova istraga više nema smisla, ostajemo posvećeni saradnji sa SEC-om da ovo pitanje što pre zaključimo."