Si è scoperto che i mercati Lyxxe e Hubdex hanno reso accessibili pubblicamente una serie di informazioni private.
Un rapporto pubblicato da CyberNews, una pubblicazione indipendente sulla ricerca sulla cybersicurezza, mette in guardia gli appassionati di criptovaluta sui pericoli di condurre transazioni su mercati online non sicuri. Dichiara che almeno $18 milioni in criptovaluta sono stati esposti a furti a causa della scarsa sicurezza informatica.
CyberNews ha rivelato due scambi con una sicurezza “pericolosamente rischiosa”: il Lykke Marketplace e Hubdex.
Lykke, originario della Svizzera, ha rivelato le proprie chiavi API in un database accessibile al pubblico. Le chiavi API possono essere utilizzate per accedere direttamente a uno scambio per eseguire transazioni. L’allestimento ha lasciato molto spazio agli attori malintenzionati per trasferire criptovaluta nei propri account o interferire con le negoziazioni condotte tra altri utenti.
Inoltre, è stato scoperto che Lykke ha esposto le chiavi private dei suoi clienti. Le chiavi private funzionano come password per i portafogli crittografici; così la sicurezza compromessa di Lykke ha dato accesso a chiunque cercasse il posto giusto per spendere, scambiare o trasferire la criptovaluta di un altro utente senza la sua conoscenza o il proprio consenso.
Anche se alcuni clienti ci hanno fatto dei portafogli multi-sig, che richiedono almeno due autorizzazioni prima che i fondi siano resi disponibili, il database esposto di Lykke ha anche registrato gli script di riscatto e le chiavi private di questi portafogli, entrambi adeguati per consentire agli hacker con solo modeste competenze tecniche di manomettere la loro criptovaluta.
CyberNews ha riferito che la conoscenza di queste informazioni “ha consentito l’accesso diretto ai fondi degli utenti, il che significa la piena capacità di rubare quei fondi o manipolare qualsiasi dato”.
Lykke ha immediatamente risposto al rapporto rendendo privato il database pubblico e contattando i clienti interessati. Il marketplace ha spiegato che il database era “disponibile in sola lettura”.
Hanno assicurato a CyberNews che “non sono stati esposti dati personali e non sono stati persi fondi” e che stavano adottando misure aggiuntive per evitare che tali situazioni si ripetessero in futuro.
Anche il mercato cinese, Hubdex, è stato messo al sicuro per lasciare 1,1 milioni di chiavi private esposte su un database accessibile al pubblico. Anche la possibilità di modificare le password era prontamente disponibile, il che consentiva a tutte le parti malintenzionate di accedere agli account di propria scelta.
Inoltre, l’exchange ha lasciato le chiavi API e le chiavi del portafoglio multi-firma disponibili pubblicamente, offrendo agli hacker una varietà di modi per sfruttare lo scambio.
Un’ulteriore preoccupazione è l’estensione dei dati personali che Hubdex ha lasciato esposti. Poiché i mercati delle criptovalute sono obbligati a raccogliere i dati dei propri clienti (secondo la policy KYC) come parte delle normative per prevenire la manipolazione errata delle risorse digitali, gli ID ufficiali, i nomi e gli indirizzi degli utenti erano prontamente disponibili al pubblico.
Il database è stato messo offline, dopo che CyberNews ha contattato il team tecnico della CERT (National Computer Network Emergency Response) cinese, dopo che i tentativi di contattare il mercato stesso sono falliti.
Con oltre 19.000 mercati di criptovaluta in tutto il mondo, c’è una preoccupazione urgente per l’aumento della sicurezza informatica e delle normative relative al database dei mercati di criptovalute. La minaccia non è solo per i portafogli crittografici degli utenti, ma anche per le loro identità e la sicurezza personale.