الجدول الزمني لتسوية Coinapult

تطوير القصة.

كوينابولت ذكرت أن المحفظة الساخنة للشركة تم اختراقها.

Coinapult معروف للكثيرين في مجتمع العملات المشفرة. تأسست الشركة من قبل إريك فورهيس وإيرا ميلر في عام 2012 ، وجمعت 750 ألف دولار أمريكي في جولة أولية بقيادة روجر فير ، فيرست مارك كابيتال ، وصندوق فرصة بيتكوين. يقع مقر Coinapult في مدينة بنما.

أرسل مدير الحساب Robinson Dorion في Coinapult جدولًا زمنيًا بخصوص تسوية Coinapult Hot Wallet.

في الساعة 9:27 بالتوقيت العالمي المنسق ، تم إرسال سحب غير مصرح به لـ 150 BTC من محفظة Coinapult الساخنة إلى هذا العنوان: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. يحتوي العنوان اعتبارًا من الساعة 7:25 مساءً بتوقيت شرق الولايات المتحدة على 150 بيتكوين بقيمة تقارب 43،080.00 دولارًا أمريكيًا وفقًا لـ Winkdex ويظل غير منفق وغير متأثر.

أعضاء فريق Coinapult الذين يعملون حاليًا على حل المشكلة هم Ira الرئيس التنفيذي ، و Zach مسؤول تكنولوجيا المعلومات ، و GP المدير التقني ، و Cindy مطور وخبير في الطب الشرعي ، و Justin COO و Robinson موظف خدمة العملاء.

تم الاحتفاظ بالمحفظة الساخنة في مركز بيانات من المستوى 3 مع وجود عضوين فقط من أعضاء الفريق لديهم وصول فعلي. من بينهم Ira و Zach كلاهما يعملان حاليًا لتحديد كيفية حدوث التسوية بالإضافة إلى العمل على تأمين Coinapult. يقتصر وصول SSH إلى الخادم على أربعة أفراد داخل الشركة من بينهم Ira و Zach و GP و Cindy.

تنص Coinapult على أن الاتصال بالخادم باستخدام SSH يتطلب من المستخدمين تسجيل الدخول إلى VPN للشركة واستخدام مفاتيح SSH الفردية للتسجيل المناسب. تم فحص كل من أجهزة الكمبيوتر المحمولة الخاصة بحامل مفاتيح الإنتاج من قبل الآخرين بحثًا عن نشاط الشبكة من النافذة الزمنية دون العثور على أي شيء مريب ، ومع ذلك كان الكمبيوتر المحمول الخاص بـ Zach يُظهر سلوكًا غريبًا يذكرنا بهجوم MITM.

صرحت الشركة أنه بينما كان الجميع يستخدمون نفس الشبكة المحلية التي كان الكمبيوتر المحمول الخاص بـ Zach يعرض عنوان IP في الغابون بينما يعرض أعضاء الفريق الآخرون عناوين IP الخاصة بنما. عند اكتشاف التناقض ، قام زاك بتشغيل جهاز الكمبيوتر المحمول الخاص به وتم إزالة القرص الصلب لتحليل الطب الشرعي.

ذكرت الشركة أنه في 13 مارس ، تعرض مركز البيانات حيث تمت استضافة الخادم المالي لانقطاع طوال اليوم. تزامن الانقطاع مع جميع مواقع الويب الحكومية البنمية ومواقع وخوادم الأعمال المحلية الأخرى أيضًا غير متصلة بالإنترنت. كان نظام الهاتف في مركز البيانات معطلاً أيضًا. أثناء هذا الانقطاع ، تم تسجيل دخول Zach إلى كل جهاز تقريبًا في مركز البيانات كجزء من عملية الاسترداد من الانقطاع.

#Crypto ExchangeBenefits

1

Binance
Best exchange


VISIT SITE
  • ? The worlds biggest bitcoin exchange and altcoin crypto exchange in the world by volume.
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

2

Coinbase
Ideal for newbies


Visit SITE
  • Coinbase is the largest U.S.-based cryptocurrency exchange, trading more than 30 cryptocurrencies.
  • Very high liquidity
  • Extremely simple user interface

3

eToro
Crypto + Trading

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

نظرًا لانقطاع التيار ، أرسل GP عبر البريد الإلكتروني إلى Justin و Ira و Zach خطة لنقل جميع خدمات تكنولوجيا المعلومات إلى خوادم مختلفة خارج مركز البيانات في محاولة للتخفيف من المخاطر عبر مراكز البيانات المختلفة وربما يكون قد أبلغ المهاجم عن غير قصد بأن اختراق يجب أن تتم أنظمة Coinapult قبل نقل خوادم Coinapult.

ذكرت الشركة أن الأسبوعين الماضيين كانا يمثلان مشكلة غير معتادة فيما يتعلق بقضايا النظام والاستقرار. واجهت Coinapult مشكلات في محرك الأقراص الثابتة ، ومشكلات في وحدة المعالجة المركزية (CPU) ومشكلات أخرى مع الأجهزة المستضافة في مركز البيانات ، وبينما تُعرف أسباب هذه المشكلات ، فقد يكون إخفاء الأنشطة الضارة.

بدأت الشركة في تحليل جميع الأنظمة ووجدت عدة أدلة بخصوص الحل الوسط.

تم تعديل الملف /var/log/auth.log. يحتوي الملف على سطر فارغ إضافي وتم إفراغ الملف auth.log.1. قبل الاختراق ، كان ملف auth.log.1 مليئًا ببيانات الأيام العديدة الماضية.

تم أيضًا تعديل الملف /root/.bash_history ويظهر بعض الوصول المقلق إلى الجهاز.

#CRYPTO BROKERSBenefits

1

eToro
Best Crypto Broker

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

2

Binance
Cryptocurrency Trading


VISIT SITE
  • ? Your new Favorite App for Cryptocurrency Trading. Buy, sell and trade cryptocurrency on the go
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

#BITCOIN CASINOBenefits

1

Bitstarz
Best Crypto Casino

VISIT SITE
  • 2 BTC + 180 free spins First deposit bonus is 152% up to 2 BTC
  • Accepts both fiat currencies and cryptocurrencies

2

Bitcoincasino.io
Fast money transfers


VISIT SITE
  • Six supported cryptocurrencies.
  • 100% up to 0.1 BTC for the first
  • 50% up to 0.1 BTC for the second

المداخل الأربعة الأخيرة من هذا الملف هي:

  • nano auth.log
  • nano syslog
  • نانو ufw.log
  • ls

وجدت الشركة أن هذا خارج عن استخدام Coinapult القياسي ومن المحتمل أن يديره المهاجم بقصد معالجة الملفات بعد مغادرة النظام. يعتقد فريق Coinapult أنه كان من الممكن استخدام مجموعة أدوات الجذر ويأمل أن يساعد تحليل الطب الشرعي للقرص الصلب في تحديد ما إذا كان هذا هو الحال.

قدمت Coinapult الجدول الزمني التالي فيما يتعلق بالأحداث. جميع الأوقات المذكورة هي UTC -5.

1:49 – تطلب Ira أعلى المحفظة الساخنة بـ 100 BTC من Bitfinex.

2:36 – يسجل Ira الدخول إلى VPN (وفقًا لسجل نظامه)

2:36 – يسجل Ira الدخول إلى خادم Finance (وفقًا لسجل الخادم)

2:37 – يقوم Ira بتشغيل sendmany لتقسيم المخرجات للحصول على أداء إرسال مثالي أثناء الليل. لم يكن هذا ضروريًا لأن 100 BTC لم تظهر بعد ، لكن Ira لم يلاحظ ذلك.

3:55 – يرسل Bitfinex عملية سحب بقيمة 100 BTC

4:15 – إخطار Robinson بشأن المعاملات الملغاة بشكل غير صحيح

4:27 – تم سحب المخترق

4:54 – يرسل Robinson بريدًا إلكترونيًا حول المعاملات المتوقفة وانخفاض المحفظة الساخنة بشكل مثير للريبة

4:58 – يدعو روبنسون زاك ويبدأ زاك في محاولة الاتصال بشبكة VPN (وفقًا لسجل نظامه)

5:17 – نجح Zach في تسجيل الدخول إلى VPN (وفقًا لسجل نظامه)

5:22 – يسجل Zach الدخول إلى خادم Finance (وفقًا لسجل الخادم)

5:31 – يرسل زاك بريدًا إلكترونيًا يقول فيه إن العمليات تعمل ولكن لا يمكنه تقييم المحفظة الساخنة بمفرده

8:42 – أجرت Ira تحقيقًا كافيًا لتحديد أنه تم سحب 150 BTC إلى عنوان غير معروف. إرسال هذه المعلومات بالبريد الإلكتروني إلى الآخرين في الشركة.

9:12 يتم سحب معظم الأموال من المحفظة الساخنة. يتم إخطار العملاء (أي) ويتم وضع إشعار عام على موقعنا. يحقق الفريق ويحدد محتويات هذا التقرير.

قام فريق Coinapult بإيقاف تشغيل وعزل جميع الأجهزة في مركز البيانات. إنهم يعملون على تفكيك وتشغيل الأدلة الجنائية على القرص الصلب لمعرفة ما إذا كان بإمكانهم استعادة البيانات من السجلات التي تم التلاعب بها أو في أي مكان آخر. بدأ زاك أيضًا في تفكيك جهاز الكمبيوتر المحمول الخاص به لتشغيل الطب الشرعي عليه ويتم نقل جميع الأجهزة خارج مركز البيانات.

تطلب الشركة من مركز البيانات توفير جميع سجلات الوصول ولقطات المراقبة ذات الصلة بالوضع وتسعى لجمع المزيد من المعلومات حول انقطاع الخدمة في 13 مارس..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map