História em desenvolvimento.
Coinapult relatou que a carteira quente da empresa foi comprometida.
A Coinapult é bem conhecida por muitos na comunidade de criptomoedas. A empresa foi fundada por Erik Voorhees e Ira Miller em 2012 e levantou $ 750.000 dólares em uma rodada de sementes liderada por Roger Ver, FirstMark Capital e o Bitcoin Opportunity Fund. Coinapult tem sede na Cidade do Panamá.
O gerente de contas Robinson Dorion da Coinapult enviou um cronograma sobre o compromisso da Carteira Hot da Coinapult.
Às 9:27 UTC, uma retirada não autorizada de 150 BTC foi enviada da carteira quente da Coinapult para este endereço: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. O endereço a partir das 19h25 EDT contém 150 BTC no valor de aproximadamente $ 43.080,00 USD de acordo com a Winkdex e permanece não gasto e inalterado.
Os membros da equipe da Coinapult que estão trabalhando atualmente para resolver o problema são Ira, o CEO, Zach, o administrador de TI, GP, o CTO, Cindy, uma desenvolvedora e especialista forense, Justin, o COO e Robinson, um funcionário de atendimento ao cliente.
A carteira quente foi mantida em um data center de Nível 3 com apenas dois membros da equipe tendo acesso físico. Eles incluem Ira e Zach, que estão atualmente trabalhando para determinar como o acordo aconteceu, além de trabalhar para proteger a Coinapult. O acesso SSH ao servidor é limitado a quatro pessoas dentro da empresa, que incluem Ira, Zach, GP e Cindy.
A Coinapult afirma que a conexão com o servidor usando SSH requer que os usuários estejam conectados à VPN da empresa e usem chaves SSH individuais para o registro apropriado. Cada um dos laptops dos detentores das chaves de produção foram inspecionados pelos outros para atividade de rede na janela de tempo, sem nada suspeito encontrado, no entanto, o laptop de Zach exibia um comportamento estranho que lembra um ataque MITM.
A empresa afirmou que, enquanto todos estavam usando a mesma rede local, o laptop de Zach exibia um endereço IP do Gabão, enquanto outros membros da equipe exibiam endereços IP do Panamá. Ao descobrir a discrepância, Zach desligou seu laptop e o disco rígido foi removido para análise forense.
A empresa relatou que no dia 13 de março o data center onde o servidor financeiro estava hospedado passou o dia todo paralisado. A interrupção coincidiu com todos os sites do governo panamenho e outros sites e servidores de negócios locais também estando offline. O sistema telefônico no data center também estava fora do ar. Durante esta interrupção, Zach estava conectado a quase todas as máquinas do data center como parte do processo de recuperação da interrupção.
| # | Crypto Exchange | Benefits |
|---|---|---|
1 | Best exchange  VISIT SITE |
|
2 | Ideal for newbies  Visit SITE |
|
3 | Crypto + Trading  VISIT SITE |
|
Devido à interrupção, GP enviou um e-mail para Justin, Ira e Zach com um plano para fazer a transição de todos os serviços de TI para vários servidores fora do data center em um esforço para mitigar os riscos em vários data centers e pode ter inadvertidamente informado ao invasor que uma penetração do Os sistemas da Coinapult precisariam ser executados antes da movimentação dos servidores da Coinapult.
A empresa relatou que as últimas duas semanas foram incomumente problemáticas para problemas de sistema e estabilidade. A Coinapult teve problemas de disco rígido, problemas de CPU e outros problemas com as máquinas hospedadas no data center e, embora as causas desses problemas sejam conhecidas, pode ter sido o mascaramento de atividades maliciosas.
A empresa iniciou uma análise de todos os sistemas e encontrou várias pistas sobre o compromisso.
O arquivo /var/log/auth.log foi modificado. O arquivo contém uma linha em branco adicional e o arquivo auth.log.1 foi esvaziado. Antes do comprometimento, o arquivo auth.log.1 estaria cheio de dados dos últimos dias.
O arquivo /root/.bash_history também foi modificado e mostra alguns problemas de acesso à máquina.
| # | CRYPTO BROKERS | Benefits |
|---|---|---|
1 | Best Crypto Broker VISIT SITE |
|
2 | Cryptocurrency Trading VISIT SITE |
|
| # | BITCOIN CASINO | Benefits |
|---|---|---|
1 | Best Crypto Casino  VISIT SITE |
|
2 | Fast money transfers  VISIT SITE |
|
As últimas quatro entradas desse arquivo são:
- nano auth.log
- nano syslog
- nano ufw.log
- ls
A empresa descobriu que isso está fora do uso padrão da Coinapult e provavelmente é executado pelo invasor com a intenção de corrigir os arquivos após deixar o sistema. A equipe da Coinapult acredita que um root kit poderia ter sido usado e espera que uma análise forense do disco rígido ajude a determinar se esse é o caso.
A Coinapult forneceu o seguinte cronograma em relação aos eventos. Todos os horários listados são UTC -5.
1:49 – Ira solicita recarga de carteira quente com 100 BTC da Bitfinex.
2:36 – Ira faz login na VPN (de acordo com seu syslog)
2:36 – Ira faz login no servidor Financeiro (de acordo com o registro do servidor)
2:37 – Ira executa sendmany para dividir as saídas para desempenho de envio ideal durante a noite. Isso era desnecessário, pois o 100 BTC ainda não havia aparecido, mas Ira não percebeu que.
3:55 – Bitfinex envia 100 retiradas BTC
4:15 – notifica Robinson sobre transações canceladas indevidamente
4:27 – A retirada pelo hacker é feita
4:54 – Robinson envia um e-mail sobre transações paralisadas e carteira quente sendo suspeitamente baixa
4:58 – Robinson liga para Zach e Zach começa a tentar se conectar à VPN (de acordo com seu syslog)
5:17 – Zach efetua login com sucesso na VPN (de acordo com seu syslog)
5:22 – Zach efetua login no servidor Financeiro (de acordo com o log do servidor)
5:31 – Zach envia e-mail dizendo que os processos estão em execução, mas não consegue avaliar a carteira quente por conta própria
8:42 – Ira fez investigações suficientes para identificar que 150 BTC foram retirados para um endereço desconhecido. Envia esta informação por e-mail para os outros na empresa.
9:12 A maioria dos fundos é retirada da carteira quente. Os clientes (ou seja,) são notificados e um aviso público é colocado em nosso site. A equipe investiga e identifica o conteúdo deste relatório.
A equipe da Coinapult desligou e isolou todo o hardware do data center. Eles estão trabalhando para desmontar e executar análises forenses no disco rígido para ver se podem recuperar dados dos logs manipulados ou de outro lugar. Zach também começou a desmontar seu laptop para executar análises forenses nele e todo o hardware está sendo retirado do data center.
A empresa está solicitando que o data center forneça todos os registros de acesso e filmagens de vigilância relevantes para a situação e está buscando reunir mais informações sobre a interrupção ocorrida em 13 de março.
