Nawala ang ShapeShift ng $230k sa String of Thefts, Report Finds

Nawala ng digital currency exchange ang ShapeShift ng hanggang $230,000 sa tatlong magkahiwalay na pagnanakaw sa loob ng isang buwan, ayon sa ulat ng insidente na inihanda ng serbisyo at nakuha ng CoinDesk.

Dumarating ang ulat ilang araw pagkatapos ma-offline ang ShapeShift kasunod ng isang hindi detalyadong insidente sa seguridad noon na nagresulta sa pagkawala ng mga pondong hawak sa mga nakakonektang wallet ng exchange.

Nang maglaon, sinabi ng ShapeShift na naniniwala ito na ang pagnanakaw ay isang panloob na trabaho.

Ayon sa ulat, ang empleyadong iyon ay nagnakaw ng $130,000 mula sa ShapeShift noong kalagitnaan ng Marso. Ang empleyado, na hindi nakilala, ay nagbenta ng sensitibong impormasyon sa seguridad sa isang hacker sa labas matapos matanggal sa palitan. Ang isa pang $100,000 sa mga pondo na denominasyon sa Bitcoin, ether at Litecoin ay ninakaw noong ika-7 at ika-9 ng Abril.

Ang ulat ay nagpapatuloy na i-highlight ang mga hakbang na ginawa ng hacker upang takpan ang kanyang mga track. Idinetalye din nito ang dalawang pag-uusap sa pagitan ng hacker at CEO na si Erik Voorhees, kung saan inaangkin na ang empleyado ay nagbebenta ng pangunahing data ng seguridad .

Mula noon ay lumipat ang ShapeShift upang muling itayo ang serbisyo, at sinabi nitong inaasahan itong muling magbubukas sa ika-20 ng Abril, o ngayong Miyerkules. Sa pagtatapos ng pag-atake, sinabi ng palitan na nagpatupad ito ng mga bagong protocol ng seguridad, na binuo sa pakikipagtulungan sa consultancy na nakabase sa Toronto Ledger Labs.

"Upang ulitin, walang pera ng customer ang nawala o nasa panganib, at ang ShapeShift ay babalik online sa lalong madaling panahon. Salamat sa komunidad at sa aming mga customer para sa iyong pasensya," sabi ni Voorhees sa isang pahayag.

Detalyadong trabaho sa loob

Ayon sa ulat, ang unang insidente ay naganap noong ika-14 ng Marso, sinabi ng kumpanya, na nagresulta sa pagkawala ng 315 BTC. Hindi nagtagal ay napag-alaman na isang empleyado ng ShapeShift ang nasa likod ng insidente.

Ang empleyado ay tinanggal sa susunod na araw, sinabi ng ShapeShift sa CoinDesk. Pagkatapos ay sinimulan ang trabaho sa paglipat ng serbisyo sa mas ligtas na hardware.

Ngunit ayon sa ulat ng ShapeShift, nagpatuloy ang mga pagnanakaw. Noong ika-7 ng Abril, 97 BTC, 3,600 ETH at 1,900 LTC na pondo ang ninakaw. Sa loob ng dalawang araw ng pagnanakaw na iyon, pagkatapos na gawin offline ang site at gumawa ng mga hakbang upang palakasin ang seguridad, isang karagdagang 57 BTC at 2,200 ETH ang kinuha.

Sa paglaon, ipapakita ng pagsusuri na ang dalawang server na ginamit sa paglalagay ng palitan ay na-target sa mga insidente, kahit na ang direktang ebidensya ng anumang panghihimasok ay lumilitaw na na-scrub ng sinumang nasa likod nito.

Ang ulat ay nagsasaad:

"Dahil ang direktang ebidensiya ng isang partikular na vector ng pag-atake ay hindi natagpuan sa panahon ng digital forensic na pagsisiyasat, isang pagsusuri sa mga magagamit na katotohanan ay isinagawa upang matukoy ang lahat ng posibleng mga vector ng pag-atake na akma sa mga katotohanan. Napansin na ang umaatake ay hindi lamang nagawang ikompromiso ang parehong mga imprastraktura nang medyo mabilis, ngunit natukoy nila ang kanilang mga IP address nang kasing bilis."

Sa gitna ng kasunod na pagsisiyasat na isinagawa sa pakikipagtulungan kay Michael Perklin ng Ledger Labs, nakipag-ugnayan ang isang hacker sa exchange na nagsasabing bumili siya ng impormasyon, kasama ang IP address ng opisina ng ShapeShift at mga detalye ng pag-access para sa admin interface ng exchange, mula sa dating empleyadong iyon.

Mga susunod na hakbang

Sinasabi ng palitan na napabuti nito ang mga pamamaraang pangseguridad nito, kabilang ang kung paano ito nagpapadala ng ligtas na impormasyon sa pagitan ng mga empleyado at namamahala ng access sa mga server nito. Sa kalagayan ng hack. Lumipat din ang ShapeShift upang mag-draft at maglagay ng mga pormal na patakaran sa seguridad.

"Nakipagtulungan ang Ledger Labs sa ShapeShift sa bagong imprastraktura para sa isang mas ligtas na platform sa hinaharap," sinabi ni Perklin sa CoinDesk sa pamamagitan ng email. "Kahit na may panloob na sabotahe mula sa isang empleyado, iniwasan ng kumpanya ang anumang mga pondo ng customer na mawala."

Ang legal na aksyon sa anyo ng isang sibil na kaso ay isinagawa din laban sa dating empleyado, kahit na tumanggi ang ShapeShift na magkomento sa kung saan inihain ang demanda, na nagbabanggit ng mga dahilan sa Privacy .

Sinasabi ng palitan na naniniwala ito na makakabawi ito ng "makabuluhang" halaga ng mga nawalang pondo.

Ang buong ulat ng insidente ay makikita sa ibaba.

ShapeShift Postmortem

Larawan sa pamamagitan ng Shutterstock

Disclaimer: Ang CoinDesk ay isang subsidiary ng Digital Currency Group, na mayroong stake ng pagmamay-ari sa ShapeShift.