Coinapult kompromisstidslinje

Utvecklingsberättelse.

Coinapult rapporterade att företagets heta plånbok har äventyrats.

Coinapult är välkänt för många i kryptovalutasamhället. Företaget grundades av Erik Voorhees och Ira Miller 2012 och samlade in 750 000 USD i en såddrunda som leds av Roger Ver, FirstMark Capital och Bitcoin Opportunity Fund. Coinapult är baserat i Panama City.

Kontoansvarig Robinson Dorion på Coinapult har skickat över en tidslinje angående Coinapult Hot Wallet-kompromissen.

9:27 UTC skickades ett obehörigt uttag för 150 BTC från Coinapults heta plånbok till den här adressen: 12LszeXACdj9bdETzv8BkXyWeabZ1151aA. Adressen från 19:25 EDT innehåller 150 BTC värt cirka $ 43.080,00 USD enligt Winkdex och förblir outnyttjad och oberörd.

Coinapult-teammedlemmar som för närvarande arbetar för att lösa problemet är Ira VD, Zach IT-administratören, GP CTO, Cindy en utvecklare och kriminalteknisk expert, Justin COO och Robinson en kundtjänstmedarbetare.

Den heta plånboken förvarades i ett Tier 3-datacenter med endast två lagmedlemmar som hade fysisk åtkomst. De inkluderar Ira och Zach som båda arbetar för att avgöra hur kompromissen hände förutom att arbeta för att säkra Coinapult. SSH-åtkomst till servern är begränsad till fyra personer inom företaget som inkluderar Ira, Zach, GP och Cindy.

Coinapult säger att anslutning till servern med SSH kräver att användare är inloggade på företagets VPN och använder enskilda SSH-nycklar för lämplig loggning. Var och en av produktionsnyckelhållarnas bärbara datorer inspekterades av de andra för nätverksaktivitet från tidsfönstret utan att något misstänkt hittades, men Zachs bärbara dator uppvisade konstigt beteende som påminner om en MITM-attack.

Företaget uppgav att medan alla använde samma lokala nätverk visade Zachs bärbara dator en Gabon-baserad IP-adress medan andra teammedlemmar visar Panama IP-adresser. Efter upptäckten av avvikelsen slog Zach ner sin bärbara dator och hårddisken togs bort för kriminalteknisk analys.

Företaget rapporterade att datacentret där finansservern var värd den 13 mars upplevde ett avbrott hela dagen. Avbrottet sammanföll med att alla panamanska regeringswebbplatser och andra lokala företagswebbplatser och servrar också var offline. Telefonsystemet vid datacentret var också nere. Under detta avbrott var Zach inloggad på nästan alla datorer vid datacentret som en del av återställningsprocessen från avbrottet.

#Crypto ExchangeBenefits

1

Binance
Best exchange


VISIT SITE
  • ? The worlds biggest bitcoin exchange and altcoin crypto exchange in the world by volume.
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

2

Coinbase
Ideal for newbies


Visit SITE
  • Coinbase is the largest U.S.-based cryptocurrency exchange, trading more than 30 cryptocurrencies.
  • Very high liquidity
  • Extremely simple user interface

3

eToro
Crypto + Trading

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

På grund av den avbrutna GP skickade Justin, Ira och Zach en plan för att överföra alla IT-tjänster till olika servrar utanför datacentret i ett försök att mildra riskerna i olika datacenter och kan ha av misstag tippat angriparen att en penetration Coinapultsystem skulle behöva äga rum innan Coinapults servrar flyttades.

Företaget rapporterade att de senaste två veckorna har varit ovanligt problematiska för systemproblem och stabilitet. Coinapult har upplevt hårddiskproblem, CPU-problem och andra problem med maskinerna som finns i datacentret och medan orsakerna till dessa problem är kända kan det ha varit maskeringen av skadliga aktiviteter.

Företaget har påbörjat en analys av alla system och hittat flera ledtrådar om kompromissen.

Filen /var/log/auth.log har modifierats. Filen innehåller ytterligare en tom rad och filen auth.log.1 har tömts. Innan kompromissen hade filen auth.log.1 varit full av data under de senaste dagarna.

Filen /root/.bash_history modifierades också och visar viss oroande åtkomst till maskinen.

#CRYPTO BROKERSBenefits

1

eToro
Best Crypto Broker

VISIT SITE
  • Multi-Asset Platform. Stocks, crypto, indices
  • eToro is the world’s leading social trading platform, with thousands of options for traders and investors.

2

Binance
Cryptocurrency Trading


VISIT SITE
  • ? Your new Favorite App for Cryptocurrency Trading. Buy, sell and trade cryptocurrency on the go
  • Binance provides a crypto wallet for its traders, where they can store their electronic funds.

#BITCOIN CASINOBenefits

1

Bitstarz
Best Crypto Casino

VISIT SITE
  • 2 BTC + 180 free spins First deposit bonus is 152% up to 2 BTC
  • Accepts both fiat currencies and cryptocurrencies

2

Bitcoincasino.io
Fast money transfers


VISIT SITE
  • Six supported cryptocurrencies.
  • 100% up to 0.1 BTC for the first
  • 50% up to 0.1 BTC for the second

De sista fyra posterna i den filen är:

  • nano auth.log
  • nano syslog
  • nano ufw.log
  • ls

Företaget har funnit att detta är utöver den vanliga Coinapult-användningen och sannolikt drivs av angriparen i avsikt att läka ut filerna efter att ha lämnat systemet. Coinapult-teamet tror att ett root-kit kunde ha använts och hoppas att en kriminalteknisk analys av hårddisken skulle hjälpa till att avgöra om så är fallet.

Coinapult har tillhandahållit följande tidslinje angående händelser. Alla listade tider är UTC -5.

1:49 – Ira begär hot plånbok med 100 BTC från Bitfinex.

2:36 – Ira loggar in på VPN (enligt hans syslog)

2:36 – Ira loggar in på Finance-servern (enligt serverloggen)

2:37 – Ira kör sendmany till split-utgångar för optimal sändningsprestanda under natten. Detta var onödigt eftersom 100 BTC inte hade dykt upp ännu, men Ira märkte inte det.

3:55 – Bitfinex skickar 100 BTC-uttag

4:15 – meddelar Robinson om felaktigt avbrutna transaktioner

4:27 – Uttag av hackare görs

4:54 – Robinson skickar ut e-post om att transaktioner är stoppade och att den heta plånboken är misstänkt låg

4:58 – Robinson ringer till Zach och Zach börjar försöka ansluta till VPN (enligt hans syslog)

5:17 – Zach loggar in framgångsrikt på VPN (enligt hans syslog)

5:22 – Zach loggar in på Finance-servern (enligt serverloggen)

5:31 – Zach skickar e-postmeddelande om att processer körs men kan inte bedöma het plånbok på egen hand

8:42 – Ira har gjort tillräckligt med utredning för att identifiera att 150 BTC har dragits tillbaka till en okänd adress. Skickar denna information till de andra i företaget.

9:12 Majoriteten av medel tas ut från het plånbok. Kunder (dvs.) meddelas och offentligt meddelande placeras på vår webbplats. Teamet undersöker och identifierar innehållet i denna rapport.

Coinapult-teamet har stängt av och isolerat all hårdvara i datacentret. De arbetar för att demontera och köra kriminalteknik på hårddisken för att se om de kan återställa data från de manipulerade loggarna eller någon annanstans. Zach har också börjat demontera sin bärbara dator för att köra kriminalteknik på den och all hårdvara flyttas ut från datacentret.

Företaget begär att datacentret tillhandahåller alla åtkomstloggar och övervakningsfilmer som är relevanta för situationen och försöker samla mer information om den 13 mars upplevda avbrott.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me