#Bitfinex #LỗHổngBảoMật #TiềnĐiệnTử #BáoCáoNộiBộ
Bitfinex vừa công bố báo cáo nội bộ đề xuất về lỗ hổng bảo mật của họ đã bị tấn công bởi tin tặc trước đó. Tuy nhiên, phân tích này bị cho là “không đầy đủ” và “không chính xác” bởi đối tác Bitgo từ chối bình luận và Ledger Lab không trả lời yêu cầu. Kẻ tấn công đã sử dụng công cụ hủy dữ liệu để che giấu vết, xóa vĩnh viễn nhật ký và tạo phẩm kỹ thuật số khác, ngăn chặn việc xác định điểm truy cập vào hệ thống Bitfinex.
Hơn 119,000 Bitcoin của hơn 2,000 tài khoản người dùng đã bị chuyển sang ví của kẻ trộm chỉ trong hơn ba giờ và tiền này đã được rút hoặc sử dụng để mua hàng trực tuyến nhỏ. Sau sáu năm điều tra, hai vợ chồng đã bị bắt về tội rửa tiền Bitcoin bị đánh cắp. Tuy nhiên, không rõ liệu Bitfinex đã thực hiện những thay đổi trong quy trình của mình hay không, khi công ty phủ nhận báo cáo của Dự án Báo cáo tội phạm và Tham nhũng có tổ chức và cho rằng lỗ hổng là do sơ suất của đối tác khác.
Các chuyên gia bảo mật cảnh báo rằng các lỗ hổng bảo mật của ngành công nghiệp tiền điện tử vẫn rất đáng lo ngại và các công ty cần phải đầu tư nhiều hơn vào bảo mật để tránh mất tiền tiết kiệm của khách hàng cũng như rủi ro giao dịch với internet tiền tệ. Mặc dù ngành công nghiệp tiền điện tử đã phát triển rất nhanh, các công ty cung cấp cơ sở hạ tầng cho nó cần tập trung hơn vào bảo mật.
Nguồn: https://www.wired.com/story/security-lapses-at-hacked-crypto-exchange-bitfinex/
Bitfinex nói với OCCRP rằng phân tích là “không đầy đủ” và “không chính xác” và rằng có “bằng chứng về sự sơ suất… từ phía các đối tác khác đã dẫn đến vụ hack.” Bitgo từ chối bình luận. Ledger Lab đã không trả lời yêu cầu bình luận.
Tin tặc đã che dấu vết của họ bằng một công cụ hủy dữ liệu, được sử dụng để xóa vĩnh viễn nhật ký và các tạo phẩm kỹ thuật số khác có thể đã xác định điểm truy cập ban đầu vào hệ thống Bitfinex, có nghĩa là không rõ bằng cách nào họ xâm nhập vào hệ thống của sàn giao dịch, chỉ có những điểm yếu bảo mật mà họ đã tận dụng một lần bên trong. Việc chuyển hơn 119.000 bitcoin từ hơn 2.000 tài khoản của người dùng sang ví dưới sự kiểm soát của tên trộm chỉ mất hơn ba giờ. Tiền điện tử nằm đó trong nhiều tháng cho đến khi, bắt đầu từ tháng 1 năm 2017, ai đó bắt đầu gửi một số lượng nhỏ theo hình chữ chi qua các tài khoản khác. Số tiền cuối cùng đã được rút ra hoặc được sử dụng để mua hàng trực tuyến nhỏ.
Các nhà điều tra đã theo dõi được số tiền và sáu năm sau vụ hack, bắt hai vợ chồng về tội rửa tiền bitcoin bị đánh cắp. Điện thoại ghi đĩa, hộ chiếu giả và thẻ nhớ USB chứa khóa bảo mật điện tử cho ví chứa bitcoin trị giá 3,9 tỷ đô la đã được tìm thấy dưới giường của cặp vợ chồng trong căn hộ ở New York của họ. Cả hai đều không nhận tội và đang chờ xét xử.
Không rõ liệu những bài học từ vụ hack Bitfinex có dẫn đến những thay đổi trong quy trình của công ty hay không. Công ty nói với OCCRP rằng báo cáo là “không chính xác” và rằng có “bằng chứng về sự sơ suất…của các đối tác khác đã dẫn đến vụ hack.” Bitgo từ chối bình luận.
Karen A. Greenaway, cựu đặc vụ FBI và chuyên gia về tiền điện tử, cho biết cô ấy nghĩ rằng lỗ hổng bảo mật của Bitfinex là do mong muốn “thực hiện nhiều giao dịch nhanh hơn” và do đó tăng lợi nhuận. “Thực tế là (Bitfinex) đã không cung cấp một báo cáo (công khai) nhận trách nhiệm và khắc phục các lỗi bảo mật dẫn đến vụ hack nói lên nhiều điều hơn bất kỳ sự thừa nhận hay từ chối nào từ phía họ,” người đại diện cho biết.
Các chuyên gia bảo mật nói rằng ngành công nghiệp tiền điện tử nói chung ít bị tổn thương hơn trước các loại hack tương đối đơn giản xảy ra vào khoảng thời gian xảy ra vụ vi phạm Bitfinex, nhưng quy mô và độ phức tạp của ngành đã tăng lên đáng kể kể từ đó.
Max Galka, người sáng lập và Giám đốc điều hành của công ty phân tích chuỗi khối Elementus cho biết: “Bề mặt cần được bảo vệ cho Web3 lớn hơn nhiều so với những gì bạn có thể mong đợi. “Trong một số trường hợp, những gì có thể xuất hiện như một vụ hack hợp đồng thông minh thực sự có thể đã xảy ra ở một vài mức độ khác nhau.”
Giống như số bitcoin bị đánh cắp từ Bitfinex tăng vọt về giá trị, bản thân ngành công nghiệp tiền điện tử hiện đã rất lớn, nhưng các công ty cung cấp cơ sở hạ tầng cho nó thường tập trung hơn vào việc di chuyển nhanh chóng và thực hiện các ý tưởng mới.
Hugh Brooks, giám đốc hoạt động bảo mật của công ty bảo mật blockchain CertiK cho biết: “Rất nhiều công ty tiền điện tử có những ý tưởng tuyệt vời nhưng lại không nghĩ đến vấn đề bảo mật. “Họ đẩy mạnh việc xây dựng một ứng dụng Web3 cho đến khi nó bị tấn công. Chỉ một số ít ứng dụng vượt qua cả những kiểm tra cơ bản nhất.”
Mặc dù đã có những tiến bộ, Brooks nói, các công ty tiền điện tử cần đầu tư nhiều hơn nữa vào bảo mật. Ông nói: “Nếu bạn bị xâm phạm hoặc phạm sai lầm, đó không chỉ là một số tên người dùng và mật khẩu, mà còn là tiền tiết kiệm cả đời của ai đó hoặc có khả năng là một khoản tiền khổng lồ. “Khi bạn đang giao dịch với internet tiền tệ, rủi ro sẽ cao hơn nhiều.”
Bài viết này được chuẩn bị với sự hợp tác của Dự án Báo cáo Tội phạm và Tham nhũng có Tổ chức, một nền tảng báo cáo điều tra cho mạng lưới các trung tâm truyền thông và nhà báo độc lập trên toàn thế giới.
[ad_2]
