Crypto.com - REKT
C'est pire que ce que nous pensions.
Après notre enquête préliminaire, ErgoBTC a décelé encore plus de fonds perdus par Crypto.com.
Quelque 444 BTC de plus, soit ~18,7 millions de dollars.
Cela porte la valeur totale perdue à 33,7 millions de dollars, et fait remonter Crypto.com à la 15e place du classement.
Et toujours sans aucune reconnaissance d'une quelconque perte de la part de Crypto.com.
Ils vous mentent.
Nous avons constaté ce retrait anormalement élevé du portefeuille de paiement de @cryptocom bc1q7cyrfmck2ffu2ud3rn5l5a8yv6f0chkp0zpemf via
06f7b6adac715ea7f30e2f23f52b3dfeed53…
Peu de temps après, plusieurs centaines de retraits ont été rassemblés en 4 sorties pour un montant de 67,75 BTC.
Les 271 BTC sont ensuite déposés en série de 24 ou 25 BTC sur un tumbler BTC bien connu. 173 BTC situés à l'adresse bc1qk8wlwypvvr6v5lmsngg5a248k2a9cgrsrw5jsq, probablement associés au hack, n'ont pas encore été envoyés au tumbler.
Ce tumbler a été couramment utilisé dans des hacks attribués au DPRK Lazarus Group et, plus récemment, dans la tentative de blanchiment de BTC liée à l'activité du ransomware Darkside de cet été.
Ces découvertes multiplient par deux les préjudices constatés lors de notre enquête initiale, et accroissent la pression exercée sur Crypto.com pour qu'il fasse toute la lumière sur ce qui s'est passé.
En tout cas, le PDG est heureux...
Crypto.com devrait cesser de shitposter et révéler à ses utilisateurs où est passé leur argent.
Notre article original se poursuit ci-dessous.
Un nouveau CEX vient de se faire rekt, même si celui-ci ne veut pas l'admettre.
Le premier message de crypto.com concernant l'attaque a été émis le 17 janvier 2022 à 04:44 AM UTC, et indiquait que :
Un petit nombre de nos utilisateurs nous signale actuellement une activité suspecte sur ses comptes. Nous allons mettre en pause les retraits sous peu, pendant que notre équipe mènera l'enquête. Tous les fonds sont en sécurité.
Environ 8 heures plus tard, à 12:17, Crypto.com a de nouveau confirmé ses déclarations, avec un tweet qui disait :
Plus tôt dans la journée, un petit nombre d'utilisateurs a subi une activité non autorisée sur ses comptes. Tous les fonds sont en sécurité.
Puis, plus tard dans la journée, à 18:44 +UTC, les portefeuilles de centaines d'utilisateurs de crypto.com ont été dévalisés. Les fonds n'étaient pas en sécurité.
Comment l'assaillant a-t-il réussi à contourner le système 2FA des utilisateurs et l'autorisation de retrait par e-mail ?
Si, comme le PDG @Kris_HK l'a également affirmé, "tous les fonds sont en sécurité"
Pourquoi tant d'utilisateurs affirment-ils avoir perdu leurs ETH ?
Peckshield estime que la perte totale s’élève à environ 15 millions de dollars, avec au moins 4600 ETH prélevés directement dans les portefeuilles de centaines d'utilisateurs.
Certik a déclaré que :
La perte totale est d'environ 4836 ETH et 282 portefeuilles d'utilisateurs ont été touchés par le hack.
Les ETH volés ont été envoyés sur Tornado Cash et l'adresse est inactive depuis le 18 janvier à 01:21:13 AM +UTC.
Le hacker a déjoué le 2FA existant et a également contourné la whitelist des retraits : est-il vraiment possible que cette attaque provienne de l'extérieur ?
Même un audit "SOC2" de Deloitte n'a pu empêcher cette attaque qui place directement Crypto.com en 29e position de notre classement.
Lorsqu'une des marques du monde de la crypto les plus reconnues est victime d'un exploit, cela nuit à la réputation de l'ensemble du secteur. Les plateformes d'échange centralisées reposent sur les investisseurs particuliers, investisseurs qui seront facilement découragés par des événements comme celui-ci.
Crypto.com admettra-t-il un jour que les fonds n'étaient pas en sécurité ?
Un programme de dédommagement à hauteur de 15 millions de dollars est certainement plus judicieux que de faire semblant que rien ne s'est jamais passé.
Ou peut-être rembourseront-ils discrètement les utilisateurs concernés, plutôt que d'annoncer quoi que ce soit d'officiel.
Nous attendons le post-mortem officiel de crypto.com.
Rejoignez notre groupe Telegram pour en discuter plus longuement en cliquant ici.
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.
vous pourriez aussi aimer...
LCX - REKT
Circulez, il n’y a rien à voir… Un nouveau CEX de rekt, 7,94 millions de dollars ont été volés. Les avantages de la finance centralisée se réduisent comme peau de chagrin jour après jour.
Vulcan Forged - REKT
Quatre cas en dix jours. 140 millions de dollars ont disparu de Vulcan Forged. Les "clés compromises" n'arrêtent pas de faire parler d'elles en ce moment.
Fortress Protocol - REKT
La forteresse est un champ de ruines après que 3M$ aient été volés suite à une manipulation d'oracle et un acte de gouvernance malveillant. L'interface utilisateur est mise en pause, mais les contrats restent actifs. L'écosystème de Fortress renflouera-t-il les utilisateurs pour les fonds perdus ?