Primer lanzamiento | Análisis de evento de robo de 336 BTC de la billetera Cashaa

1. Una breve introducción al robo de Cashaa

Coin Crunch recibió una carta de queja el 10 de julio de 2020. La víctima afirmó que le robaron sus 1.06005561 BTC después de que inició sesión a las 1:23 y realizó dos transacciones. El BTC robado fue transferido a la dirección 14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek. El certificado de denuncia es el siguiente: (Según la descripción oficial, para proteger la privacidad del denunciante, solo se intercepta la primera página del certificado)

Figura 1

Poco después, un total de 8 monederos de bitcoin involucrados en Cashaa, con un total de 335.91312085 bitcoins (alrededor de 3,1 millones de dólares estadounidenses), fueron transferidos a la misma dirección 14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek por el atacante a través de los mismos medios.

Kucoin revela parte de las direcciones de reserva, incluidos 20 504 BTC, 180 299 ETH y más de mil millones de USDT: el 11 de noviembre, el CEO de Kucoin, Johnny, reveló algunas de las direcciones de billetera fría y caliente del intercambio en su Twitter personal, incluido un total de 20504 BTC, 180299 ETH, 1075909241 USDT, 365722839 USDC, 69601075 KCS. Además, Kucoin también ha puesto 29 696 ETH en el compromiso ETH 2.0 Debido a que hay demasiadas direcciones involucradas (32 ETH por nodo), la dirección específica no se ha revelado.

Johnny dijo que además de los cinco activos anteriores, se dará a conocer más información de reserva en el futuro. [2022/11/11 12:52:22]

Después del incidente, el CEO de Cashaa, Kumar Gaurav, respondió al incidente y afirmó que el incidente fue solo una excepción y que el saldo del resto de las cuentas de Cashaa aún estaba a salvo. También hizo un llamado a todos los principales intercambios para que prohíban el retiro de direcciones relacionadas con este incidente, de lo contrario sería "ayudar a los malhechores". Casi todos los intercambios respondieron positivamente a la llamada de Cashaa.

ETH supera la marca de los $360 con un aumento intradiario del 1,24 %: los datos de Huobi Global muestran que ETH ha aumentado a corto plazo, superando la marca de los $360 y ahora cotiza a $360,06, un aumento intradiario del 1,24 %. fluctúa mucho, así que por favor haga un buen trabajo en el control de riesgos. [2020/9/28]

Según la explicación dada por Cashaa, este incidente fue causado por un empleado que usó su propia computadora personal. El pirata informático controló la computadora del empleado a través de la sesión del navegador, pero el método de ataque específico aún está bajo investigación. Cashaa anteriormente no permitía el uso de computadoras personales. Esta vez, los empleados usaron computadoras personales debido a fallas en los equipos. Teniendo en cuenta la "experiencia del cliente", Cashaa abrió temporalmente el permiso el día 8. Después de que el empleado usó la computadora para operar el día 10, 336 BTC fueron robados poco después. Según la dirección en línea, el BTC robado también se mezcló durante el proceso de transferencia.

Las posiciones de los grandes tenedores de contratos perpetuos de 58COIN se transmiten a las 20:00: a las 20:00, según los datos oficiales de contratos perpetuos de 58COIN, las posiciones de los grandes tenedores son las siguientes:

En la cuenta de contrato perpetuo de BTC, el índice de posición promedio de las posiciones largas es del 18,28 % y el índice de posición promedio de las posiciones cortas es del 17,26 %.

En la cuenta de contrato perpetuo de EOS, el índice de posición larga promedio es del 18,28 % y el índice de posición corta promedio es del 17,08 %.

En la cuenta de contrato perpetuo de ETH, el índice de posición larga promedio es del 15,95 % y el índice de posición corta promedio es del 18,74 %. [2020/9/9]

2. Análisis de eventos

Chengdu Lianan-Security Lab analizó este incidente. El BTC involucrado en este incidente fue robado poco tiempo después de que el empleado lo operara, y las monedas mezcladas fluyeron hacia él durante el proceso de transferencia. Esto muestra que los piratas informáticos han estado interesados ​​​​durante mucho tiempo en blockchain. tecnología Es probable que la acumulación sea practicantes relacionados o miembros de la industria negra.

Según la información proporcionada por Cashaa, el empleado obtuvo el permiso el día 8 y fue atacado el día 10. Esto es demasiada coincidencia. Creemos que Cashaa debería haber realizado un control de seguridad en la computadora del empleado antes de autorizar temporalmente la computadora del empleado. . Aquí especulamos que este es un ataque altamente dirigido. Es probable que los piratas informáticos apunten a Cashaa durante mucho tiempo, y conocen muy bien a los miembros internos y las tendencias de la empresa, por lo que pueden controlar las computadoras de los empleados en un período de tiempo tan corto. Pero no descarta la posibilidad de que personas con información privilegiada cooperen con el caso.

Según la información que tenemos hasta ahora, especulamos que hay dos posibilidades:

Los atacantes son bandas que se especializan en industrias clandestinas relacionadas. Han estado atacando a cashaa durante mucho tiempo. Han dominado el sistema de gestión de red e información del personal relevante de la empresa. Han atacado continuamente el equipo de información del personal de la empresa a través de métodos de ataque tradicionales, o han dominado parte de la información del sistema Permisos, este ataque se basa en el ataque anterior.

El personal relevante dentro de la empresa cooperó con el caso, filtró información de la empresa al atacante y luego cooperó con los trabajadores sociales para llevar a cabo ataques dirigidos para obtener acceso a la computadora del empleado.

Tres, recomendaciones de seguridad

En respuesta a este incidente, Chengdu Lianan pidió a los principales proveedores de servicios de intercambio y billetera que "destruyan el dique de mil millas en un hormiguero". La construcción de la seguridad de la red es un aspecto, y cualquier punto débil puede convertirse en un "nido de hormigas" que rompa el dique.

1. A partir del intercambio: la seguridad en todos los niveles, como la capa de servidor, la capa de red, la capa de terminal, la capa de contrato inteligente, la capa comercial y el sistema de gestión de seguridad son indispensables. Una vez que hay una tabla corta, no importa cuán buenos sean otros aspectos, no ayudará.

2. La "seguridad" es siempre un proceso que cambia las reglas del juego y no hay sistema que no se pueda romper. Con el desarrollo continuo de la tecnología, el llamado sistema "seguro" se volverá inseguro, por lo que también es indispensable establecer una relación de cooperación continua con empresas de seguridad de terceros.

3. Para el sistema de seguridad, las personas suelen ser el entorno más débil y existe la posibilidad de "violar las normas" en cualquier momento. Fortalecer la conciencia de seguridad de la información de los empleados e implementar un buen sistema de gestión de seguridad puede evitar grandes riesgos.

4. "No es demasiado tarde para reparar una oveja muerta". Después de ser atacado por un pirata informático, el intercambio debe buscar inmediatamente la ayuda de una empresa de seguridad profesional para rastrear el movimiento de fondos y minimizar la pérdida de la empresa tanto como sea posible.

Tags：

Huobi