Helmikuussa hajautettu kryptovaluuttapörssi FixedFloat koki tyhjennyshyökkäyksen, jonka seurauksena menetettiin yli 26 miljoonan dollarin arvosta Bitcoinia (BTC) ja Ethereumia (ETH). Maaliskuun loppuun mennessä pörssi kärsi toisen hyväksikäytön, mikä johti 2,8 miljoonan dollarin lisätappioon.
Muutamaa kuukautta myöhemmin FixedFloat jakoi yksityiskohdat näistä tapahtumista ja meneillään olevasta tutkimuksesta BeInCryptolle.
FixedFloat on hakkeroitu kahdesti tänä vuonna. Miten tämä tapahtui?
Ensimmäinen hakkerointi tapahtui yöllä 16.-17. helmikuuta. Tämä oli ulkoinen hyökkäys, joka johtui turvallisuusrakenteemme haavoittuvuuksista. Hakkeri hyödynsi tietoturvamme haavoittuvuutta ja pääsi käsiksi joihinkin FixedFloatin toimintoihin. Toinen tietomurto tapahtui 31. maaliskuuta, jolloin hakkeri hyödynsi tuolloin käyttämämme kolmannen osapuolen palvelun haavoittuvuutta.
Tekikö toisen hakkeroinnin sama hakkeri, joka teki edellisen hakkeroinnin, vai oliko se eri hyökkääjä?
Uskomme, että sama hakkeri teki molemmat hakkeroinnit, koska hyökkäykset olivat peräisin samasta IP-osoitteesta. Emme voi tällä hetkellä antaa kaikkia yksityiskohtia. Voimme kuitenkin ilmoittaa, että hakkereilla on suuri määrä vaarantuneita palvelimia.
Joissakin näistä palvelimista he ovat ottaneet infrastruktuurin käyttöön hyökkäyksiä varten. He eivät todennäköisesti tallentaneet todisteita omille laitteilleen, vaan käyttivät kolmannen osapuolen palvelimia. Hakkerit käyttivät lukuisia yksilöllisiä IP-osoitteita; Joitakin käytettiin kuitenkin molempien hyökkäysten käynnistämiseen.
Onko sinulla tietoa siitä, kuka tarkalleen on hakkeroinnin takana?
Olemme käyttäneet Time4VPS-isännöintiä pitkään. Tämä on melko suuri web-hosting-palveluntarjoaja Euroopassa, joka toimii vuodesta 2012. Valitsimme Time4VPS: n tarkoituksiimme, koska tämä hosting tarjoaa melko halpoja palvelimia, joilla on alhainen suorituskyky. Tämä oli kätevä ja kannattava vaihtoehto joidenkin teknisten ratkaisujen toteuttamiseksi projektimme alkuvaiheessa.
Viime vuosina olemme siirtäneet alipalvelimemme ja lompakkomme. Vuoden 2024 alussa Time4VPS-palvelimelle jäi useita pienitehoisia solmuja, joissa oli lompakot ja joitain alijärjestelmiä. Ensimmäisen hakkeroinnin jälkeen hakkeri löysi yhden Time4VPS:ltä vuokratun teknisen palvelimemme IP-osoitteen.
Miten hakkeri käytti tietoja?
Hakkeri kirjautui kaikille palvelimillemme, jotka oli vuokrattu Time4VPS-isännöinniltä, samanaikaisesti, vaikka tiesi vain yhden IP-osoitteen. Vaihdoimme välittömästi kaikki palvelimien ja tilien salasanat, mutta hakkeri vaihtoi salasanat nopeasti uudelleen. Löysimme ratkaisun palvelimen valtuutuksen estämiseksi ja aloimme siirtyä tästä isännöintipalvelusta.
Hakkeri sai kuitenkin pääsyn kaikkiin isäntätoimintoihin, mukaan lukien maailmanlaajuinen pääsy kaikkiin palvelimiin, mikä teki ratkaisuistamme tehottomia. Hakkeri muutti tilin sähköpostiosoitteen virheelliseksi, mikä esti meitä kirjautumasta sisään tai vastaanottamasta salasanan vaihtoilmoituksia. He muodostivat yhteyden palvelimiin ilman lupaa.
Tässä vaiheessa tajusimme tarpeen tuhota palvelimet ja poistaa ne sallittujen luetteloista välittömästi. Viiveemme tässä antoi hakkereille mahdollisuuden lähettää pyyntöjä, joiden avulla he pystyivät varastamaan varoja.
Oletko ottanut yhteyttä Time4VPS-tukeen?
31. maaliskuuta, heti havaittuamme luvattoman pääsyn palvelimillemme, otimme yhteyttä Time4VPS: ään ilmoittaaksemme hakkeroinnista. Olimme erittäin yllättyneitä heidän toimettomuudestaan. Tekninen tuki ilmoitti meille, että teknikoilla oli vapaapäivä eivätkä he voineet auttaa meitä. Seuraavana päivänä Time4VPS-tiimi pysyi passiivisena. He vain neuvoivat meitä vaihtamaan tilimme salasanat.
Lopulta vakuutimme heidät vahvistamaan, että tiettyjä toimintoja ei voitu suorittaa heidän henkilökohtaisen tilinsä kautta. Vasta sitten he vahvistivat hakkeroinnin ja lupasivat toimittaa raportin tapahtumasta seuraavana päivänä.
Oletko saanut hakkerointiraportin Time4VPS: ltä?
Yli kolme kuukautta on kulunut, eikä Time4VPS: ltä ole vieläkään raporttia. Sen sijaan he pyysivät, että toimitamme joitakin asiakirjoja heidän järjestelmänsä kautta. Kieltäydyimme, koska Time4VPS: n edustajat eivät ole vahvistaneet löytäneensä ja korjanneensa haavoittuvuuden. Heidän vaatimuksensa ovat luoneet uuden tietovuodon riskin.
Sovimme, että teemme yhteistyötä vain lainvalvontaviranomaisten suoralla osallistumisella tai sen jälkeen, kun lainvalvontaviranomaiset ovat vahvistaneet, että haavoittuvuus on korjattu. Lisäksi lakimiehemme oli valmis toimittamaan tarvittavat asiakirjat suoraan yrityksen toimistoon raporttien ja avun saamiseksi. Time4VPS:n johto kuitenkin hylkäsi tämän tarjouksen.
Miksi luulet, että Time4VPS ei ollut aktiivinen hakkeroinnin aikaan eikä tarjonnut apua sen jälkeen?
Emme sulje pois mahdollisuutta, että isännöitsijän työntekijä olisi voinut helpottaa hakkerointia. Olemme kuitenkin taipuvaisempia uskomaan, että Time4VPS ja sen takana oleva liettualainen yritys ovat yksinkertaisesti huolimattomia. Uskomme, että isännöitsijän kriittiset haavoittuvuudet pysyvät korjaamattomina, jolloin kaikki heidän asiakkaidensa tiedot jäävät suojaamattomiksi hakkereiden hyökkäyksiltä.
Vaikuttiko hakkerointi asiakkaisiisi?
Tämä tapaus aiheutti ongelmia paitsi meille myös käyttäjillemme. Heti kun havaitsimme hakkeroinnin, sammutimme FixedFloatin ja keskeytimme kaikki käynnissä olevat vaihdot.
FixedFloat on automaattinen, non-custodial, hajautettu kryptovaluutanvaihtopalvelu, joten emme säilytä käyttäjiemme varoja. Lisäksi FixedFloat ei ole kryptovaluuttamikseri. Lähetämme varoja pörsseihin vain osoitteistamme, ja nämä tiedot ovat julkisia.
Hakkeroinnin vuoksi meillä oli velvoitteita asiakkaille, jotka tekivät vaihtoja tuolloin. Olemme sittemmin täyttäneet kaikki velvoitteemme käyttäjiämme kohtaan ja suorittaneet kaikki tilaukset, jotka pysähtyivät palvelukatkoksen vuoksi. Vain palvelumme kärsi varojen hakkeroinnista ja varkauksista.
Mitä toimenpiteitä teit hakkeroinnin jälkeen?
Ensimmäinen tietomurto johtui tietoturva-aukosta, jonka olemme sittemmin korjanneet. Valitettavasti emme odottaneet kolmansien osapuolten hyökkäystä. Toisen hakkeroinnin jälkeen palvelumme oli huollossa yli kaksi kuukautta. Tänä aikana asiantuntijamme työskentelivät laajasti infrastruktuurimme parantamiseksi ja suojautumiseksi tällaisilta hyökkäyksiltä.
Olemme uudistaneet turvallisuusjärjestelmäämme radikaalisti. Tähän sisältyi kattavan tarkastuksen suorittaminen, lisäturvatoimien toteuttaminen ja uhkien havaitsemis- ja ehkäisyjärjestelmiemme parantaminen.
Oletko suorittanut teknisen työn?
Kyllä, FixedFloat on jatkanut toimintaansa. Useimmat kryptovaluutat ovat jo vaihdettavissa, ja asiantuntijamme pyrkivät lisäämään uusia valuuttoja. Olemme tarjonneet laadukkaita, käteviä ja nopeita kryptovaluutanvaihtopalveluita kuuden vuoden ajan, ja aiomme jatkaa työtämme.
Voitko antaa hakkeroinnista selviytyneiden näkökulmasta muutamia suosituksia muille alustoille ja niiden käyttäjille turvallisuuden lisäämiseksi?
Palveluna, joka on kokenut kaksi hakkerointia eri syistä, suosittelemme seuraavaa:
- Suorita turvajärjestelmiesi säännöllisiä tarkastuksia. Tunnista ja korjaa kaikki haavoittuvuudet nopeasti.
- Suunnittele palveluntarjoajan haavoittuvuudet. Toinen hakkerointi hyödynsi palveluntarjoajamme Time4VPS: n haavoittuvuutta. Alustojen olisi ennakoitava tällaiset skenaariot, ja niillä olisi oltava vankka menettely palveluntarjoajien hakkerointia varten.
- Aseta aina käyttäjien turvallisuus etusijalle. Ota käyttöön tiukat turvatoimet ja protokollat käyttäjätietojen ja varojen suojaamiseksi.
Mihin toimiin aiotte ryhtyä palauttaaksenne käyttäjienne luottamuksen näiden onnettomuuksien jälkeen?
Olemme aktiivisesti yhteydessä käyttäjiimme eri viestintäkanavien kautta, mukaan lukien sosiaaliset verkostot ja foorumit. Näin voimme ilmoittaa heille tekemistämme muutoksista. Tällä hetkellä kaikki käyttäjät eivät ole tietoisia siitä, että FixedFloat on jatkanut toimintaansa, mutta pyrimme levittämään tätä tietoa.
Ymmärrämme, että monet olivat huolissaan hakkeroinnin vaikutuksista käyttäjiimme. Korostamme kuitenkin, että olemme non-custodial-palvelu emmekä tallenna käyttäjien varoja. Tilaukset, jotka jäivät täyttämättä hätäseisokin vuoksi, on saatu päätökseen. Tällä hetkellä meillä ei ole taloudellisia velvoitteita käyttäjiämme kohtaan.
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.