Coinapult kompromis tidslinje

Udviklingshistorie.

Coinapult rapporterede, at virksomhedens hot tegnebog er kompromitteret.

Coinapult er velkendt for mange i kryptokurrency-samfundet. Virksomheden blev grundlagt af Erik Voorhees og Ira Miller i 2012 og rejste $ 750.000 USD i en frørunde ledet af Roger Ver, FirstMark Capital og Bitcoin Opportunity Fund. Coinapult er baseret i Panama City.

Kontoadministrator Robinson Dorion hos Coinapult har sendt en tidslinje vedrørende Coinapult Hot Wallet-kompromiset.

Kl. 9:27 UTC blev en uautoriseret tilbagetrækning på 150 BTC sendt fra Coinapults hot wallet til denne adresse: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Adressen pr. 19:25 EDT indeholder 150 BTC til en værdi af cirka $ 43.080,00 USD ifølge Winkdex og forbliver ubrugt og uberørt.

#Crypto ExchangeBenefits

1

Binance
Best exchange


VISIT SITE
  • ? The worlds biggest bitcoin exchange and altcoin crypto exchange in the world by volume.
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

2

Coinbase
Ideal for newbies


Visit SITE
  • Coinbase is the largest U.S.-based cryptocurrency exchange, trading more than 30 cryptocurrencies.
  • Very high liquidity
  • Extremely simple user interface

3

eToro
Crypto + Trading

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

Coinapult-teammedlemmer, der i øjeblikket arbejder på at løse problemet, er Ira administrerende direktør, Zach IT-administratoren, GP CTO, Cindy en udvikler og retsmedicinsk ekspert, Justin COO og Robinson en kundeservicemedarbejder.

Den varme tegnebog blev opbevaret i et Tier 3-datacenter med kun to teammedlemmer, der havde fysisk adgang. De inkluderer Ira og Zach, som begge arbejder for at bestemme, hvordan kompromiset skete ud over at arbejde for at sikre Coinapult. SSH-adgang til serveren er begrænset til fire personer inden for virksomheden, som inkluderer Ira, Zach, GP og Cindy.

Coinapult angiver, at forbindelse til serveren ved hjælp af SSH kræver, at brugerne er logget ind på virksomhedens VPN og bruger individuelle SSH-nøgler til passende logning. Hver af produktionsnøgleholdernes bærbare computere blev inspiceret af de andre for netværksaktivitet fra tidsvinduet uden noget mistænkeligt fundet, men Zachs bærbare computer udviste mærkelig opførsel, der minder om et MITM-angreb.

Virksomheden sagde, at mens alle brugte det samme lokale netværk, viste Zachs bærbare computer en Gabon-baseret IP-adresse, mens andre teammedlemmer viser Panama IP-adresser. Efter opdagelsen af ​​uoverensstemmelsen slukkede Zach for sin bærbare computer, og harddisken blev fjernet til retsmedicinsk analyse.

Virksomheden rapporterede, at datacentret, hvor økonomiserveren var vært, oplevede den 13. marts en hel dags udfald. Udfaldet faldt sammen med, at alle panamanske regeringswebsteder og andre lokale forretningswebsteder og servere også var offline. Telefonsystemet ved datacentret var også nede. Under dette udfald var Zach logget ind på næsten alle maskiner i datacentret som en del af gendannelsesprocessen fra afbrydelsen.

På grund af udfaldet sendte GP e-mail til Justin, Ira og Zach en plan om at overføre alle it-tjenester til forskellige servere uden for datacentret i et forsøg på at afbøde risikoen på tværs af forskellige datacentre og kan utilsigtet have tipset angriberen om, at en penetration af Coinapult-systemer ville skulle finde sted inden flytning af Coinapults servere.

Virksomheden rapporterede, at de sidste to uger har været usædvanligt problematiske for systemproblemer og stabilitet. Coinapult har oplevet harddiskproblemer, CPU-problemer og andre problemer med maskinerne hostet i datacentret, og selvom årsagerne til disse problemer er kendt, kunne det have været maskering af ondsindede aktiviteter.

#CRYPTO BROKERSBenefits

1

eToro
Best Crypto Broker

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

2

Binance
Cryptocurrency Trading


VISIT SITE
  • ? Your new Favorite App for Cryptocurrency Trading. Buy, sell and trade cryptocurrency on the go
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

#BITCOIN CASINOBenefits

1

Bitstarz
Best Crypto Casino

VISIT SITE
  • 2 BTC + 180 free spins First deposit bonus is 152% up to 2 BTC
  • Accepts both fiat currencies and cryptocurrencies

2

Bitcoincasino.io
Fast money transfers


VISIT SITE
  • Six supported cryptocurrencies.
  • 100% up to 0.1 BTC for the first
  • 50% up to 0.1 BTC for the second

Virksomheden har påbegyndt en analyse af alle systemer og fundet flere spor vedrørende kompromiset.

Filen /var/log/auth.log er blevet ændret. Filen indeholder en ekstra tom linje, og filen auth.log.1 er blevet tømt. Før kompromiset ville auth.log.1-filen have været fuld af data fra de sidste adskillige dage.

Filen /root/.bash_history blev også ændret og viser en vis foruroligende adgang til maskinen.

De sidste fire poster i denne fil er:

  • nano auth.log
  • nano syslog
  • nano ufw.log
  • ls

Virksomheden har fundet ud af, at dette er ude af standard Coinapult-brug og sandsynligvis drives af angriberen med den hensigt at læge filerne efter at have forladt systemet. Coinapult-teamet mener, at et rodsæt kunne have været brugt og håber, at en retsmedicinsk analyse af harddisken vil hjælpe med at afgøre, om det er tilfældet.

Coinapult har leveret følgende tidslinje vedrørende begivenheder. Alle anførte tider er UTC -5.

1:49 – Ira anmoder om hot wallet top off med 100 BTC fra Bitfinex.

2:36 – Ira logger ind på VPN (ifølge hans syslog)

2:36 – Ira logger ind på Finance-serveren (ifølge serverloggen)

2:37 – Ira kører sendmany til split-outputs for optimal sendeydelse om natten. Dette var unødvendigt, da 100 BTC ikke var dukket op endnu, men Ira bemærkede det ikke.

3:55 – Bitfinex sender 100 BTC-tilbagetrækning

4:15 – underretter Robinson om forkert annullerede transaktioner

4:27 – Hacker trækker sig tilbage

4:54 – Robinson sender e-mail om transaktioner, der er gået i stå, og hot wallet er mistænkeligt lav

4:58 – Robinson ringer til Zach og Zach begynder at prøve at oprette forbindelse til VPN (ifølge hans syslog)

5:17 – Zach logger med succes ind på VPN (ifølge hans syslog)

5:22 – Zach logger ind på Finance server (i henhold til serverlog)

5:31 – Zach sender e-mail om, at processer kører, men kan ikke selv vurdere hot wallet

8:42 – Ira har foretaget undersøgelser nok til at identificere, at der er blevet trukket 150 BTC tilbage til en ukendt adresse. E-mailer denne information til de andre i virksomheden.

9:12 Størstedelen af ​​midler trækkes ud af den varme tegnebog. Kunder (dvs.) får besked, og offentlig varsel placeres på vores websted. Teamet undersøger og identificerer indholdet af denne rapport.

Coinapult-teamet har slukket og isoleret al hardware i datacentret. De arbejder på at adskille og køre retsmedicin på harddisken for at se, om de kan gendanne data fra de manipulerede logfiler eller andre steder. Zach er også begyndt at adskille sin bærbare computer for at køre retsmedicin på den, og al hardware flyttes ud af datacentret.

Virksomheden anmoder datacentret om at give alle adgangslogfiler og overvågningsoptagelser, der er relevante for situationen, og søger at indsamle mere information om den oplevede afbrydelse den 13. marts..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map