• Igor Pauer

Hacking kryptoburzy Coibase



Minulý týden kryptoburza Coinbase poslala postiženým uživatelům zprávy, ve kterých vysvětluje, že v období mezi březnem a květnem 2021, se stala obětí soustředěného hackerského útoku, který měl za následek krádeže z více než 6 000 uživatelských účtů. Útok byl vedený přes chybu v zabezpečení MFA (multi faktorová autentifikace).


Při požadavku na obnovení účtu prostřednictvím SMS burza vlastní chybou umožnila útočníkům získat autentifikační token, který jim umožnil ovládat napadnuté účty a kompletně z nich odsát všechny prostředky. Zároveň útočníci získali kompletní identitu napadených uživatelů, jelikož je Coinbase striktně KYC burza, dá se očekávat, že informace se objeví na Darknetu na prodej, což může vést k dalším signifikantním škodám pro postižené majitelé účtů.


Coinbase uvedla, že k úspěšnému útoku bylo nutné znát emailovou adresu, heslo a telefonní číslo spojené s daným účtem, a že tyto údaje útočníci získali, jak Coinbase věří – respektive deklaruje, chybou uživatele, a to úspěšnou fishingovou kampaní.

Conibase je jednou z největších kryptoburz na světě a je jedinou zalistovanou na standardní akciové burze, tzn. IPO, což znamená že podléhá silným regulacím, dohledu KYC/AML a jako taková by měla být podle tvrzení regulátorů, jednou z nejbezpečnějších. Coinbase má více než 68 000 000 zákazníků z více než 100 zemí a sídlí v USA.


Nedávno jsme na základě dostupných indicií, vyslovili podezření, že za zmizením kryptoměn, které ohlašovali na sociálních sítích tisíce zákazníků kryptoburzy Coinbase není jejich chyba při zabezpečení účtu, tak jak prezentovala Coinbase, ale naopak, že se jedná o chybu v zabezpečení Coinbase.


Jsme přesvědčení, že k úspěšnému útoku došlo zneužitím KYC pravidel, kde pravděpodobně nastal únik slabě zabezpečených dat, jako už tolikrát v minulosti a útočníci účet atakovali použitím tzv. klonováním SIM karet k postiženým účtům. Tento vektor útoků je známý a v minulosti úspěšně vyzkoušený. Mimo analýzy z dostupných informací nás této domněnce vede i fakt, že Coinbase vrátila uživatelům všechny ukradené prostředky, čímž se zřejmě snažila odvrátit bližší vyšetřovaní bezpečnostního incidentů, v případě, že by postižení uživatele podali na burzu žaloby.


Uvedený případ opětovně ilustruje bezpečnostní riziko centralizovaných burz a KYC/AML procesů.


Případ sledujeme, a o dalším vývoji budeme dál informovat.