Kako je hakovana berza kriptovaluta Crypto.com?

Foto: Irena Herak, CoinDesk

Uporedo sa razvojem kriptovaluta, ali i drugih vidova elektronskih novčanih transakcija, razvijaju se i metode hakovanja koje postaju sve efikasnije. Nekako se uvek prilikom razvoja novih informacionih tehnologija po strani stavljaju bezbednosni aspekti rešenja što kasnije dovodi do značajnih problema.

U teoriji informacione bezbednosti postoji postulat koji propagira „built-in cyber securtiy“, odnosno projektovanje i implementaciju bezbednosnih elemenata prilikom razvoja rešenja. Primena pomenutog postulata, iako jednostavna, ne ostvaruje se u velikom broju slučajeva. Svako naknadno „dodavanje“ bezbednosnih elemenata nije tako efikasno ukoliko se to radi uporedo sa razvojem softverskog rešenja.

Hakeri ovo vrlo dobro znaju i obilato koriste.

Uvek je potrebno imati na umu da hakeri koriste naše propuste kao i da hakeri nisu nikakvi „magovi“ već smo mi sami ponekad neodgovorni ili površni.

Finansijski sistemi su naročito privlačne mete za hakere iz jednostavnog razloga a to je – novac.

Samim tim bi finansijski sistemi trebalo da budu maksimalno zaštićeni od napada što najčešće i jesu. Ipak, propusti se dešavaju čime se napadačima otvaraju vrata.

Kriptovalute su u potpunosti digitalizvana sredstva plaćanja tako da se njihova bezbednost zasniva isključivo na softverskim i hardverskom rešenjima. Ako se uzme u obzir činjenica da sistem kriptovaluta predsavlja samoregulišući sistem, odnosno da nisu regulisane od strane ni jedne centralne banke, uviđamo dodatni motiv za napad na kriptovalute, jer je zakonska regulativa prilično nejasna ili ne postoji uopšte.

U prilog iznetim činjenicama govori podatak da je u toku prošle nedelje hakovana berza kriptovaluta Crypto.com u Singapuru.

Prilikom hakerskog napada ukradene su različite kriptovalute u vrednosti od preko 30 miliona američkih dolara pri čemu je pogođeno više od 400 korisnika.

Uprkos merema bezbednosti hakeri su uspeli da probiju sistem što deluje gotovo neverovatno.

Foto: Pixabay.com

Ukoliko malo podrobnije pogledamo kako je napad izveden uviđamo da je, u krajnjoj liniji, ipak u pitanju propust samih korisnika.

Prilikom autentifikacije na platformi, potrebno je da se korisnici loguju svojim korisničkim imenom i lozinkom. Zapravo je lozinka jedini tajni podatak, dok je korisničko ime poznato.

Ovakav vid autentifikacije se naziva jednofaktorskom autentifikacijom, što znači da je dovoljno poznavati jedan tajni element – lozinku kako bi se odobrila transakacija. Jednofaktorska autentifikacija spada u slabe autentifikacije koju je moguće relativno jednostavno kompromitovati.

Kompanija je uvela i dodatni faktor autentifikacije (SMS poruku) sa jednokratnom lozinkom koju je potrebno uneti pored lozinke. Ovakva autentifikacija se naziva dvofaktorskom autentifikacijim – 2FA. Radi udobnosti korisnika, kompanija je drugi faktor postavila kao opcioni, tako da korisnici nisu morali koristiti drugi faktor. Korisnici koji nisu bili svesni opasnosti ukoliko ne koriste frugi faktor su koristili samo lozinku. Upravo korisnici koji su koristili samo lozinku su bili žrtve napada.

Generalni savet korišćenje dvofaktorske autentifikacije kad god je to ponuđeno kao opcija, bez obzira da li se radi o kriptovalutama ili prijavi na neku drugu platformu. Korišćenje dodatnog bezbednosnog faktora oduzima malo vremena, ali je to beznačajno u poređenju sa posledicama koje kompromitovanje naloga može izazvati.

(Telegraf.rs/Goran Kunjadić)