A febbraio, lo scambio decentralizzato di criptovalute FixedFloat ha subito un attacco drainer che ha causato la perdita di oltre 26 milioni di dollari di Bitcoin (BTC) ed Ethereum (ETH). A fine marzo, lo exchange ha subito un secondo exploit, che ha portato a un’ulteriore perdita di 2,8 milioni di dollari.
Qualche mese dopo, FixedFloat ha condiviso con BeInCrypto i dettagli di questi incidenti e delle indagini in corso.
FixedFloat è stata violata due volte quest’anno. Come è successo?
Il primo attacco è avvenuto nella notte tra il 16 e il 17 febbraio. Si è trattato di un attacco esterno causato da vulnerabilità nella nostra struttura di titoli. Un hacker ha sfruttato una vulnerabilità nel nostro titolo ed è riuscito ad accedere ad alcune funzioni di FixedFloat. La seconda violazione è avvenuta il 31 marzo e l’hacker ha sfruttato una vulnerabilità in un servizio di terze parti che stavamo utilizzando in quel momento.
Il secondo hack è stato commesso dallo stesso hacker che ha commesso l’hack precedente o si è trattato di un aggressore diverso?
Riteniamo che sia stato lo stesso hacker a commettere entrambe le violazioni, poiché gli attacchi sono partiti dallo stesso indirizzo IP. Al momento non possiamo fornire tutti i dettagli. Tuttavia, possiamo riportare che gli hacker possiedono un gran numero di server compromessi.
Su alcuni di questi server hanno distribuito l’infrastruttura per gli attacchi. Probabilmente non hanno archiviato le prove sui propri dispositivi, ma hanno utilizzato server di terze parti. Gli hacker hanno utilizzato numerosi indirizzi IP unici, ma alcuni sono stati utilizzati per lanciare entrambi gli attacchi.
Avete informazioni su chi si cela esattamente dietro gli attacchi?
Utilizziamo l’hosting Time4VPS da molto tempo. Si tratta di un provider di web hosting piuttosto grande in Europa, attivo dal 2012. Abbiamo scelto Time4VPS per i nostri scopi, poiché questo hosting offre server abbastanza economici con un basso rendimento. È stata un’opzione conveniente e redditizia per implementare alcune soluzioni tecniche nella fase iniziale di sviluppo del nostro progetto.
Negli ultimi anni, abbiamo migrato i nostri subserver e portafogli. All’inizio del 2024, diversi nodi a bassa potenza con portafogli e alcuni sottosistemi sono rimasti sul server Time4VPS. Dopo il primo hack, l’hacker ha scoperto l’indirizzo IP di uno dei nostri server tecnici affittati da Time4VPS.
Come ha utilizzato le informazioni l’hacker?
L’hacker ha effettuato l’accesso a tutti i nostri server, affittati dall’hosting Time4VPS, contemporaneamente, nonostante conoscesse solo un indirizzo IP. Abbiamo immediatamente cambiato tutte le password dei server e degli account, ma l’hacker ha rapidamente cambiato di nuovo le password. Abbiamo trovato una soluzione per impedire l’autorizzazione dei server e abbiamo iniziato la transizione da questo provider di hosting.
Tuttavia, l’hacker ha ottenuto l’accesso a tutte le funzioni dell’hoster, includendo l’accesso globale a tutti i server, rendendo inefficaci le nostre soluzioni. L’hacker ha cambiato l’e-mail dell’account con una non valida, impedendoci di accedere o di ricevere le notifiche di modifica della password. Si è collegato ai server senza autorizzazione.
A questo punto abbiamo capito che era necessario distruggere i server e rimuoverli immediatamente dalle liste bianche. Il nostro ritardo nel farlo ha permesso all’hacker di inviare richieste che gli hanno permesso di rubare i fondi.
Avete contattato il supporto di Time4VPS?
Il 31 marzo, subito dopo aver scoperto un accesso non autorizzato ai nostri server, abbiamo contattato Time4VPS per riportare l’hack. Siamo rimasti estremamente sorpresi dalla loro inazione. Il supporto tecnico ci ha informato che i tecnici avevano il giorno libero e non potevano assisterci. Il giorno successivo, il team di Time4VPS è rimasto inattivo. Si sono limitati a consigliarci di cambiare le password del nostro account.
Alla fine li abbiamo convinti a verificare che determinate azioni non potessero essere eseguite attraverso il loro account personale. Solo allora hanno confermato l’hack e promesso di riportare l’incidente il giorno successivo.
Avete ricevuto un rapporto sull’hack da Time4VPS?
Sono passati più di tre mesi e ancora non è stato riportato alcun rapporto da Time4VPS. Al contrario, ci hanno chiesto di fornire alcuni documenti attraverso il loro sistema. Abbiamo rifiutato perché i rappresentanti di Time4VPS non hanno confermato di aver trovato e risolto la vulnerabilità. Le loro richieste hanno creato il rischio di un’altra fuga di notizie.
Abbiamo accettato di collaborare solo con il coinvolgimento diretto delle forze dell’ordine o dopo la conferma della correzione della vulnerabilità. Inoltre, il nostro avvocato era disposto a fornire i documenti necessari direttamente presso l’ufficio dell’azienda per ricevere rapporti e assistenza. Tuttavia, la direzione di Time4VPS ha rifiutato questa offerta.
Perché ritenete che Time4VPS fosse inattivo al momento dell’hack e non abbia fornito assistenza dopo l’hack?
Non escludiamo la possibilità che un dipendente dell’hoster possa aver facilitato l’hacking. Tuttavia, siamo più propensi a credere che Time4VPS e l’azienda lituana che vi sta dietro siano semplicemente negligenti. Riteniamo che le vulnerabilità critiche dell’hoster non siano state risolte, lasciando i dati dei clienti senza protezione dagli attacchi degli hacker.
L’hacking ha avuto un impatto sui vostri clienti?
Questo incidente ha causato problemi non solo a noi, ma anche ai nostri utenti. Non appena abbiamo rilevato l’hack, abbiamo spento FixedFloat e sospeso tutti gli exchange in corso.
FixedFloat è un servizio di exchange di criptovalute automatizzato, non custodiale e decentralizzato, quindi non conserviamo i fondi dei nostri utenti. Inoltre, FixedFloat non è un mixer di criptovalute. Inviamo fondi agli exchange solo dai nostri indirizzi e queste informazioni sono pubbliche.
A causa dell’hack, avevamo degli obblighi nei confronti dei clienti che avevano effettuato degli exchange in quel momento. Da allora abbiamo adempiuto a tutti gli obblighi nei confronti dei nostri utenti e completato tutti gli ordini interrotti a causa dell’interruzione del servizio. Solo il nostro servizio ha subito l’hacking e il furto di fondi.
Quali misure avete adottato dopo l’hacking?
La prima violazione è stata causata da una vulnerabilità del titolo, che nel frattempo abbiamo risolto. Purtroppo non avevamo previsto un attacco da parte di terzi. In seguito alla seconda violazione, il nostro servizio è rimasto in manutenzione per oltre due mesi. Durante questo periodo, i nostri specialisti hanno lavorato a lungo per migliorare la nostra infrastruttura e proteggerci da attacchi di questo tipo.
Abbiamo rivisto radicalmente il nostro titolo di sicurezza. Includendo un audit completo, l’implementazione di ulteriori titoli di sicurezza e il miglioramento dei nostri sistemi di rilevamento e prevenzione delle minacce.
Avete completato il lavoro tecnico?
Sì, FixedFloat ha ripreso a funzionare. La maggior parte delle criptovalute è già disponibile per lo scambio e i nostri specialisti stanno lavorando per aggiungere nuove valute. Da sei anni forniamo servizi di exchange di criptovalute di alta qualità, convenienti e veloci e intendiamo continuare il nostro lavoro.
Dal punto di vista dei sopravvissuti agli hack, potete dare qualche consiglio ad altre piattaforme e ai loro utenti su come aumentare i titoli?
Come servizio che ha subito due hack per motivi diversi, raccomandiamo quanto segue:
- Condurre frequenti verifiche dei titoli di sicurezza. Identificare e affrontare tempestivamente tutte le vulnerabilità.
- Pianificare le vulnerabilità dei provider. Il secondo hack ha sfruttato una vulnerabilità del nostro provider di hosting, Time4VPS. Le piattaforme dovrebbero prevedere questi scenari e disporre di una solida procedura per affrontare le violazioni dei fornitori di servizi.
- Dare sempre la priorità alla sicurezza degli utenti. Implementare misure e protocolli di sicurezza rigorosi per proteggere i dati e i titoli degli utenti.
Quali misure state adottando per riconquistare la fiducia dei vostri utenti dopo questi incidenti?
Ci stiamo impegnando attivamente con i nostri utenti attraverso vari canali di comunicazione, includendo social network e forum. Questo ci permette di informarli sulle modifiche apportate. Al momento, non tutti gli utenti sono a conoscenza del fatto che FixedFloat ha ripreso a operare, ma stiamo lavorando per diffondere questa informazione.
Comprendiamo che molti si siano preoccupati dell’impatto dell’hack sui nostri utenti. Tuttavia, sottolineiamo che siamo un servizio non custodiale e non conserviamo i fondi degli utenti. Gli ordini che non sono stati evasi a causa dell’arresto di emergenza sono stati completati. Al momento non abbiamo obblighi finanziari nei confronti dei nostri utenti.
Trusted
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
