Facebook 
Pinterest Cashaa 해킹 : 내부 직업 소문이 떠오르면 조사자들이 침묵
7 월 11 일, 사기꾼들은 인도 고객에게 서비스를 제공하는 디지털 결제 플랫폼 Cashaa의 창구 데스크를 해킹하고 약 310 만 달러 상당의 336 비트 코인 (BTC)을 훔쳤습니다. Cashaa는이 해킹의 영향을받은 사용자가 없다고 말했지만, 사건을 더 잘 이해하기 위해 모든 암호화 관련 거래를 24 시간 동안 철저히 중단했습니다..
Cashaa는 영국에 기반을 둔 암호 화폐 친화적 인 은행으로 비트 코인 OTC 운영을 처리하고 인도의 주요 전통 및 암호 화폐 거래소와 협력합니다. 공무원에 따르면 성명서, 이 사건은 인도 동부 델리에있는 OTC 거래 관리자에게서 발생했으며, 개인용 컴퓨터가 악성 코드 공격을 받았습니다. Cashaa의 창립자이자 CEO 인 Kumar Gaurav는이 사건을 초래 한 근본적인 상황에 대한 자세한 내용을 Cointelegraph에 공개했습니다.
“2023 년 7 월 8 일 직원은 회사에서 제공 한 컴퓨터의 기계 오작동을보고했습니다. 따라서 그는 Blockchain.com, Huobi 등과 같은 다양한 플랫폼에서 여러 개의 대체 온라인 지갑을 설정하기 위해 개인용 컴퓨터에서 작동하도록 요청했습니다. 우리는 예외를 두었고 진행중인 OTC에 대한 ‘고객 경험’을 염두에두고 그렇게하도록 허용했습니다. 거래 / 거래. “
해킹으로 이어지는 상황
Cashaa는 시스템을 통해 거래를 할 수있는 시스템에 연결된 직원의 개인용 컴퓨터에 맬웨어가 설치되었다고 가정합니다. 대상 지갑은 Cashaa가 Bitcoin 거래를 위해 Blockchain.com에서 사용한 지갑이었습니다. Gaurav는 또한 사고 이후 손상된 기기가 회사의 조사팀에 보관되었고 직원은 조사가 끝날 때까지 일시 중지되었다고 덧붙였습니다. Cashaa 생태계에 침입하는 데 사용되는 방법에 대해 자세히 논의하기 위해 Gaurav는 다음과 같이 밝혔습니다.
“해커는 브라우저에서 열린 활성 세션을 통해 직원의 컴퓨터를 제어 할 수 있습니다. 해커는 피싱, 바이러스 및 기타 공격을 포함한 다양한 기술을 사용했습니다. 우리는 여전히 사용 가능한 모든 방법을 결론 짓고 있습니다.”
회사는 델리 범죄 국의 사이버 범죄 부서에 사건 보고서를 제출했다고 밝혔다. Cashaa는 트윗에서 해커의 비트 코인 지갑 주소를 공유하여 모든 주요 거래소, 즉 WazirX, Binance, CoinDCX 및 Bitbns에 태그를 달고 해당 주소 및 기타 지갑과 관련된 모든 거래를 모니터링하도록 촉구했습니다. 거래 사건 이후로.
여파
사고 직후 Cashaa는 회사가 모든 손실을 흡수 할 것인지 그리고 향후 이러한 사고를 방지 할 수있는 방법을 결정하기 위해 이사회 회의를 소집했습니다. Cointelegraph는 Gaurav와이 이사회 회의의 결과에 대해 논의했으며 곧 발표 될 것이라고 말했습니다. 미래 운영, 보안 및 고객 관계의 표준을 포함합니다.”
이러한 해킹은 일반적으로 해결되지 않은 상태로 남아 있기 때문에 회사가 생태계 내에서 이러한 손실을 설명하고 흡수하는 것이 필수적입니다. 그러나 ZebPay, WazirX, CoinDCX 및 Bitbns와 같은 거래소의 최고 경영진은 Twitter에서 Cashaa에 대한지지를 보였으며 가능한 경우 해당 자금의 이동을 허용하지 않도록 필요한 모든 예방 조치를 취하겠다고 회사에 확인했습니다. 추적.
Gaurav는 이러한 지원을 인정하고 Upbit 해킹과 관련하여 복구 가능성에 대해 추가로 언급했습니다. “모든 파트너와 고객이 함께 모여 해킹 된 비트 코인을 현금화하는 것이 쉽지 않을 것이라는 강력한 메시지를 해커에게 전했습니다.” 그는 계속해서 많은 거래소에서 “해커의 주소를 블랙리스트에 올렸다”고 덧붙였습니다.
이러한 해킹에 대한 커뮤니티 경계
익명을 유지하기로 선택한 소식통은이 해킹이 회사의 CAS 통화에 대한 의문을 제기하는 사기성 출구 사기처럼 보인다는 트위터의 여러 주장에 대해 코인 텔레그래프에 말했다. 은행의 고위 간부. Cointelegraph는 이러한 가능성에 대해 논의했습니다. 공동 창립자이자 P2P 암호 화폐 시장 인 LocalCoinSwap의 최고 운영 책임자 인 Daniel Worsley는 다음과 같이 말했습니다.
“이것은 내부 해킹 일 수 있다는 것은 확실히 그럴듯합니다. Cashaa는 이제 내부 조사 프로세스를 시작하여 멀웨어가 컴퓨터에 어떻게 침투했는지, 누가 유출 된 지갑에 액세스했는지 확인합니다. “
또한 336 BTC가 다중 서명이없는 핫 지갑에 저장되어 결제 전문 지식을 갖춘 회사에게는 매우 이상해 보입니다. 해킹 후 일주일 이상이 지났고 영향을받는 컴퓨터를 소유하고 있음에도 불구하고 Cashaa는 여전히 공격의 원인을 발표하지 않았습니다. Cointelegraph는 암호화 연구 및 분석 회사 인 CREBACO의 설립자이자 CEO 인 Sidharth Sogani와 세부 사항에 대해 자세히 논의했습니다.
“자금은 교환에 적합하지 않은 단일 서명 레거시 핫 지갑에있었습니다. 자금도 레거시 지갑으로 옮겨졌습니다. 일반적으로 계획된 해커는 더 이상 레거시를 사용하지 않고 더 빠르기 때문에 bech32를 사용합니다. 확실히 해킹은 해커가 아니라 기술에 순진한 사람이었습니다. “
자금 저장 방법도 공통 프로토콜 위반이라고 Sogain은 다음과 같이 덧붙였습니다. “CREBACO 벤치 마크에 따라 BTC가 100 개 이상인 디지털 자산 거래소에는 자금을 보호하기 위해 HSM이 있어야합니다.” Cashaa가 이것이 내부 직업 일 가능성에 대해 언급했을 때, 회사는 그렇지 않다는 확신을 가지고 약속 할 수 없었습니다. Gaurav는 다음과 같이 말했습니다.
“인사이더 일처럼 보이지 않습니다. 수사중인 사이버 범죄 회사는 우리에게 그 방향에 대한 힌트를주지 않았습니다. ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ ㅇㅇㅇ 게다가 ‘해킹 된 비트 코인’이 현금화되고 트레일이 최종 수혜자에게 끝날 때까지 우리는 아무것도 확신 할 수 없습니다.”
적절한 규제에 따른 가능성
이 해킹이 암호 화폐에 대한 규제가 거의 또는 전혀없는 Cashaa의 인도 법인에 영향을 주었기 때문에 문제를 해결하고 손실 된 자금을 복구하는 데 도움을 줄 수있는 규제 기관이 없습니다. Worsley는이 문제에 대해 다음과 같이 말했습니다.
“저는 규제가 이와 같은 해킹의 위험을 줄이는 데 도움이 될 수 있다고 믿습니다. 또는 사용자는 거래 및 자산 저장 프로세스 전반에 걸쳐 자금과 개인 암호화 키를 제어하는 분산 형 거래소를 사용하여 자신을 안전하게 유지할 수 있습니다.”
생태계 보안에 대한 관점에서 Cointelegraph는 웹 보안 인식 교육 플랫폼 인 KnowBe4의 보안 인식 옹호자 인 Javvad Malik에게 연락했습니다. 그는 암호화 플랫폼이 전통적인 은행에서 채택 할 수있는 시스템에 대해 설명함으로써 다음과 같이 말했습니다.
“규정이 없더라도 암호 화폐 거래소는 사기 또는 도난의 가능성을 줄이기 위해 프로세스, 기술 및 사람 전반에 걸쳐 엄격한 보호 장치를 구현해야합니다. 이는 다단계 인증, 업무 분리, 분리 된 시스템 및 사용자 인식 교육, 위협 감지 제어 및 대응 기능과 같은 기존 은행과 유사한 제어를 갖는 것을 의미합니다. “
규제 상황에 관계없이 Worsley는 Cashaa가 자금을 관리하기 위해 Blockchain.com의 지갑 (제 3 자 지갑)을 사용하지 않았다면이 해킹을 피할 수 있었을 것이라고 생각합니다. 그는 또한 다음과 같이 언급했습니다.“가장 평판이 좋은 많은 거래소는 하드웨어 지갑 또는 하드웨어 보안 모듈을 사용하여 관리중인 암호화 자산을 저장하고 처리합니다. 100 % 안전한 시스템은 없지만 이와 같은 설정은 위반하기 훨씬 더 어려울 것입니다. “
내부자 일이든 아니든, 암호화 산업의 이러한 해킹은 투자자와 정부 기관 모두의 마음에서 해당 부문의 전반적인 평판에 좋지 않습니다. 특히 인도와 같은 국가에서 규제 당국은 암호화 및 블록 체인 기술의 뉘앙스를 이해하기 시작했습니다..