O Crypto.com abriu o jogo nesta quinta-feira (20) e admitiu que 483 clientes da plataforma tiveram suas contas invadidas por hackers que roubaram 4.836,26 ETH, 443,93 BTC e mais US$ 66,2 mil em outras criptomoedas.
No total, o “incidente de segurança” deu a corretora um prejuízo de cerca de R$ 184 milhões, com base na atual cotação do Bitcoin e Ethereum.
Até então, a estimativa sobre o dano do hack havia sido feita apenas por investigadores independentes. A empresa de segurança PeckShield, por exemplo, divulgou o roubo de Ethereum no início da semana. Mais tarde, o usuário do Twitter @ErgoBTC foi o primeiro a revelar que 444 BTC também foram desviados.
No meio tempo, o CEO do Crypto.com, Kris Marszalek, batia na tecla que nenhum usuário havia sido prejudicado no incidente. Na quarta-feira (19), ele voltou atrás e confirmou em entrevista ao Bloomberg TV que mais de 400 contas foram invadidas.
Como a Crypto.com foi hackeada
Na madrugada desta quinta (20), a corretora fez uma publicação oficial para revelar o real impacto do hack. Além de superar as estimativas das investigações independentes com perdas de R$ 184 milhões em criptomoedas, a empresa também explicou como identificou o ataque:
“Na segunda-feira (17), aproximadamente às 00h46 UTC, os sistemas de monitoramento de risco do Crypto.com detectaram atividade não autorizada em um pequeno número de contas de usuário onde as transações estavam sendo aprovadas sem que o controle de autenticação 2FA [de dois fatores] fosse inserido pelo usuário”.
Ou seja, invasores conseguiram burlar a etapa de segurança para roubar os fundos dos usuários. A nota continuou dizendo que após o risco ser identificado, uma investigação foi iniciada e todos os saques na plataforma foram suspensos.
“A Crypto.com revogou todos os tokens 2FA dos clientes e adicionou medidas adicionais de proteção de segurança, que exigiam que todos os clientes fizessem login novamente e configurassem seu token 2FA para garantir que apenas atividade autorizada ocorresse”, explicou a corretora.
Todo o processo interrompeu por 14 horas os saques na corretora, que só voltaram ao normal na tarde de terça-feira (18).
Minimizando o impacto
Tanto na nota oficial quanto em declarações do CEO, o Crypto.com tenta minimizar o ataque afirmando que os usuários não perderam seus fundos porque, aqueles que tiveram as contas invadidas, foram ressarcidos no mesmo dia.
No entanto, o reembolso não exclui o fato de que uma falha na plataforma permitiu que esses fundos fossem roubados em um primeiro momento.
O CEO do Crypto.com chegou até mesmo a avaliar como “irrelevante” as mais 400 contas invadidas e R$ 184 milhões em criptomoedas roubadas, dada a escala da empresa.
Atualmente o Crypto.com está entre as dez maiores exchanges do mundo, movimentando diariamente mais de R$ 15 bilhões, segundo o CoinMarketCap.
A empresa ainda não detalhou qual falha existia na sua plataforma que abriu a brecha para o hack, se limitando a dizer que migrou para uma nova infraestrutura de autenticação de dois fatores.
O Crypto.com também introduziu uma camada adicional de segurança que força um atraso de 24 horas entre o registro de um novo endereço de saque na lista de permissões e a primeira retirada.
