Wie Blocktrainer.de berichtete, kam es vor drei Tagen zu verdächtigen Aktivitäten bei der beliebten Kryptowährungsbörse Crypto.com. Mehrere Nutzer klagten über fälschlicherweise ausgezahlte Kryptowährungen und das trotz aktivierter Zwei-Faktor-Authentifizierung. Mittlerweile wurde vom Unternehmen ein umfassender Report zu dem Vorfall veröffentlicht, der dessen ganzes Ausmaß deutlich macht.
483 User betroffen - Alle entschädigt
Von insgesamt 483 Nutzerkonten wurde ohne das Zutun der Kundinnen und Kunden Krypto-Auszahlungen getätigt. Etwas mehr als 4.836 ETH, 443 BTC und etwa 66.200 US-Dollar in anderen Coins und Token haben die Angreifer entwendet. Summa summarum macht das circa 34 Millionen US-Dollar an gestohlenen Geldern.
Den Betroffenen wurden die abhandengekommenen Coins umgehend von Crypto.com erstattet. Das Unternehmen trägt die Verluste demnach selbst. Blocktrainer.de meint: Gut so!
2FA-Infrastruktur komplett überarbeitet
Da die Verantwortlichen der Börse lieber Vorsicht als Nachsicht walten lassen wollten, überarbeiteten diese die gesamte Infrastruktur der Zwei-Faktor-Authentifizierung und migrierten komplett auf die neue Multi-Faktor-Authentifizierung (MFA). Die 2FA-Tokens für alle Nutzer weltweit wurden anschließend widerrufen, um sicherzustellen, dass die neue Infrastruktur in Kraft ist.
Crypto.com hat darüber hinaus eine zusätzliche Sicherheitsebene eingeführt, um eine obligatorische 24-stündige Verzögerung zwischen der Registrierung einer neuen Whitelist-Abhebungsadresse und der ersten Abhebung einzuführen. Die Nutzer erhalten eine Benachrichtigung, dass Abhebungsadressen hinzugefügt wurden, damit sie ausreichend Zeit haben, um zu reagieren und zu antworten. Die Benachrichtigung enthält nützliche Hinweise und Anweisungen zur Kontaktaufnahme mit dem Support-Team, falls die Aufnahme einer Adresse in die Whitelist nicht autorisiert war.
Einführung einer Art Einlagensicherung
Als nächsten Schritt führt das Unternehmen eine Art Einlagensicherung für qualifizierte Nutzer ein. Das sogenannte Worldwide Account Protection Program (WAPP) soll Kunden, die, durch den unbefugten Zugang Dritter, Gelder verloren haben, entschädigen.
Die Sicherheit der Gelder unserer Kunden hat für uns höchste Priorität, und wir verbessern ständig unsere "Defence-in-Depth"-Sicherheits- und Schutzmaßnahmen. Wir sind uns bewusst, dass es bösartige Akteure gibt, die Betrug begehen wollen, aber dieses neue Worldwide Account Protection Program, zusammen mit unserer neuen MFA-Infrastruktur, bietet unseren Nutzern einen beispiellosen Schutz ihrer Gelder und hoffentlich auch Seelenfrieden."
- Kris Marszalek, Mitbegründer und CEO von Crypto.com
Um sich für das WAPP zu qualifizieren, gibt es einige Details, die von den Kundinnen und Kunden beachtet werden müssen. Es dürfen beispielsweise keine gerooteten Mobiltelefone verwendet werden, die neue Multi-Faktor-Authentifizierung muss eingerichtet sein und eine Kopie des Polizeiberichts muss Crypto.com zur Verfügung gestellt werden. Die Bedingungen und Konditionen können je nach Markt und lokalen Vorschriften variieren. Die Börse wird die endgültige Entscheidung über die Anspruchsvoraussetzungen und die Genehmigung von Ansprüchen treffen. Das WAPP wird ab dem 1. Februar 2022 in ausgewählten Märkten eingeführt.
