A febbraio, l'exchange decentralizzato di criptovalute FixedFloat ha subito un attacco drenante, che ha comportato la perdita di oltre 26 milioni di dollari in Bitcoin (BTC) ed Ethereum (ETH). Alla fine di marzo, l’exchange ha subito un secondo exploit, che ha comportato un’ulteriore perdita di 2,8 milioni di dollari.
Pochi mesi dopo, FixedFloat ha condiviso i dettagli di questi incidenti e le indagini in corso con BeInCrypto.
FixedFloat è stato violato due volte quest'anno. Come è successo?
Il primo hack è avvenuto nella notte tra il 16 e il 17 febbraio. Si è trattato di un attacco esterno causato da vulnerabilità nella nostra struttura di sicurezza. Un hacker ha sfruttato una vulnerabilità nella nostra sicurezza ed è riuscito ad accedere ad alcune funzioni di FixedFloat. La seconda violazione è avvenuta il 31 marzo, quando l’hacker ha sfruttato una vulnerabilità in un servizio di terze parti che utilizzavamo in quel momento.
Il secondo hack è stato commesso dallo stesso hacker che ha commesso l'hack precedente o si trattava di un utente malintenzionato diverso?
Riteniamo che lo stesso hacker abbia commesso entrambi gli attacchi perché gli attacchi hanno avuto origine dallo stesso indirizzo IP. Non possiamo fornire tutti i dettagli al momento. Possiamo tuttavia segnalare che gli hacker possiedono un gran numero di server compromessi.
Su alcuni di questi server hanno implementato l’infrastruttura per gli attacchi. Probabilmente non hanno archiviato prove sui propri dispositivi, ma hanno utilizzato server di terze parti. Gli hacker hanno utilizzato numerosi indirizzi IP univoci; tuttavia, alcuni furono utilizzati per lanciare entrambi gli attacchi.
Hai informazioni su chi si nasconde esattamente dietro gli hack?
Utilizziamo l'hosting Time4VPS da molto tempo. Si tratta di un provider di web hosting abbastanza grande in Europa, attivo dal 2012. Abbiamo scelto Time4VPS per i nostri scopi, poiché questo hosting offre server abbastanza economici con prestazioni basse. Questa è stata un'opzione conveniente e redditizia per implementare alcune soluzioni tecniche nella fase iniziale di sviluppo del nostro progetto.
Negli ultimi anni abbiamo migrato i nostri sottoserver e portafogli. All'inizio del 2024, sul server Time4VPS sono rimasti diversi nodi a basso consumo con portafogli e alcuni sottosistemi. Dopo il primo hack, l'hacker ha scoperto l'indirizzo IP di uno dei nostri server tecnici noleggiati da Time4VPS.
Come ha utilizzato le informazioni l'hacker?
L'hacker ha effettuato l'accesso a tutti i nostri server, affittati dall'hosting Time4VPS, contemporaneamente, nonostante conoscesse un solo indirizzo IP. Abbiamo immediatamente cambiato tutte le password su server e account, ma l'hacker le ha cambiate rapidamente di nuovo. Abbiamo trovato una soluzione per impedire l'autorizzazione del server e abbiamo iniziato la transizione da questo provider di hosting.
Tuttavia, l’hacker è riuscito ad accedere a tutte le funzioni dell’hoster, compreso l’accesso globale a tutti i server, rendendo inefficaci le nostre soluzioni. L'hacker ha cambiato l'e-mail dell'account con uno non valido, impedendoci di accedere o di ricevere notifiche di modifica della password. Si sono collegati ai server senza autorizzazione.
A questo punto ci siamo resi conto della necessità di distruggere i server e rimuoverli immediatamente dalle whitelist. Il nostro ritardo nel farlo ha consentito all'hacker di inviare richieste che gli consentissero di rubare fondi.
Hai contattato il supporto Time4VPS?
Il 31 marzo, subito dopo aver scoperto un accesso non autorizzato ai nostri server, abbiamo contattato Time4VPS per segnalare l'hack. Siamo rimasti estremamente sorpresi dalla loro inerzia. Il supporto tecnico ci ha informato che i tecnici avevano il giorno libero e non potevano aiutarci. Il giorno successivo il team Time4VPS è rimasto inattivo. Ci hanno semplicemente consigliato di cambiare le password del nostro account.
Alla fine li abbiamo convinti a verificare che determinate azioni non potessero essere eseguite tramite il loro account personale. Solo allora hanno confermato l’hacking e hanno promesso di fornire un rapporto sull’incidente il giorno successivo.
Hai ricevuto una segnalazione di hacking da Time4VPS?
Sono passati più di tre mesi e non c'è ancora alcun rapporto da Time4VPS. Invece, ci hanno chiesto di fornire alcuni documenti tramite il loro sistema. Abbiamo rifiutato perché i rappresentanti di Time4VPS non hanno confermato di aver trovato e risolto la vulnerabilità. Le loro richieste hanno creato il rischio di un’altra fuga di informazioni.
Abbiamo accettato di collaborare solo con il coinvolgimento diretto delle forze dell'ordine o dopo che queste abbiano confermato che la vulnerabilità è stata corretta. Inoltre il nostro legale è stato preparato a fornire i documenti necessari direttamente presso la sede della società per ricevere segnalazioni ed assistenza. Tuttavia, la direzione di Time4VPS ha rifiutato questa offerta.
Perché ritieni che Time4VPS fosse inattivo al momento dell'hacking e non abbia fornito assistenza successivamente?
Non escludiamo la possibilità che un dipendente dell'hoster possa aver facilitato l'hacking. Tuttavia, siamo più propensi a credere che Time4VPS e la società lituana dietro di esso siano semplicemente negligenti. Riteniamo che le vulnerabilità critiche dell'hoster rimangano irrisolte, lasciando tutti i dati dei loro clienti non protetti dagli attacchi degli hacker.
L'hacking ha avuto un impatto sui tuoi clienti?
Questo incidente ha causato problemi non solo a noi ma anche ai nostri utenti. Non appena abbiamo rilevato l'hacking, abbiamo disattivato FixedFloat e sospeso tutti gli scambi in corso.
FixedFloat è un servizio di scambio di criptovaluta automatizzato, non custodito e centralizzato, quindi non conserviamo i fondi dei nostri utenti. Inoltre, FixedFloat non è un mixer di criptovaluta. Inviamo fondi agli scambi solo dai nostri indirizzi e queste informazioni sono pubbliche.
A causa dell'hacking, all'epoca avevamo degli obblighi nei confronti dei clienti che effettuavano scambi. Da allora abbiamo adempiuto a tutti gli obblighi nei confronti dei nostri utenti e completato tutti gli ordini interrotti a causa dell'interruzione del servizio. Solo il nostro servizio ha sofferto di hacking e furto di fondi.
Quali misure hai adottato dopo l'hacking?
La prima violazione era dovuta a una vulnerabilità della sicurezza, che da allora abbiamo risolto. Sfortunatamente non avevamo previsto un attacco da parte di terzi. Dopo il secondo attacco, il nostro servizio è rimasto in manutenzione per oltre due mesi. Durante questo periodo, i nostri specialisti hanno lavorato a lungo per migliorare la nostra infrastruttura e proteggerla da tali attacchi.
Abbiamo rivisto radicalmente il nostro sistema di sicurezza. Ciò ha incluso lo svolgimento di un audit completo, l’implementazione di misure di sicurezza aggiuntive e il miglioramento dei nostri sistemi di rilevamento e prevenzione delle minacce.
Hai completato il lavoro tecnico?
Sì, FixedFloat ha ripreso le operazioni. La maggior parte delle criptovalute è già disponibile per lo scambio e i nostri specialisti stanno lavorando per aggiungere nuove valute. Forniamo servizi di scambio di criptovaluta di alta qualità, convenienti e veloci da sei anni e intendiamo continuare il nostro lavoro.
Dal punto di vista dei sopravvissuti agli attacchi hacker, puoi dare qualche consiglio ad altre piattaforme e ai loro utenti su come aumentare la sicurezza?
Essendo un servizio che ha subito due attacchi per motivi diversi, consigliamo quanto segue:
- Conduci controlli frequenti dei tuoi sistemi di sicurezza. Identificare e affrontare tempestivamente tutte le vulnerabilità.
- Piano per le vulnerabilità del provider. Il secondo hack ha sfruttato una vulnerabilità nel nostro provider di hosting, Time4VPS. Le piattaforme dovrebbero anticipare tali scenari e disporre di una solida procedura per gestire gli attacchi hacker ai fornitori di servizi.
- Dai sempre priorità alla sicurezza dell’utente. Implementare misure e protocolli di sicurezza rigorosi per proteggere i dati e i fondi degli utenti.
Quali misure stai adottando per riconquistare la fiducia dei tuoi utenti a seguito di questi incidenti?
Interagiamo attivamente con i nostri utenti attraverso vari canali di comunicazione, inclusi social network e forum. Questo ci permette di informarli sulle modifiche che abbiamo apportato. Al momento non tutti gli utenti sono a conoscenza che FixedFloat ha ripreso le operazioni, ma stiamo lavorando per diffondere questa informazione.
Comprendiamo che molti fossero preoccupati per l'impatto dell'hacking sui nostri utenti. Tuttavia, sottolineiamo che siamo un servizio non custodito e non conserviamo i fondi degli utenti. Gli ordini non evasi a causa della chiusura di emergenza sono stati completati. Al momento non abbiamo obblighi finanziari nei confronti dei nostri utenti.
Il post Two Hacks Later: FixedFloat's Survival Story è apparso per la prima volta su BeInCrypto .