До недавнего времени активы пользователей двух бирж криптовалют стоимостью около $18 млн могли свободно быть выведены посторонним, пишет Decrypt.
Как удалось выяснить специалистам по кибербезопасности, швейцарская биржа криптовалют Lykke хранила свыше $16,5 млн в горячих кошельках, приватные ключи от которых находились в публичной базе данных. Хакеры-доброжелатели определили API-ключи биржи и смогли получить доступ к её внутренним системам, где они обнаружили 80 000 приватных ключей без всякой защиты. Также были выявлены «ключи основной сети», открывающие доступ к активам, находящимся в кошельках для стейкинга.
Похожая уязвимость была обнаружена на китайской платформе Hubdex, называющей себя децентрализованной биржей. В её случае, однако, специалистам удалось получить доступ не только к более чем миллиону приватных ключей, но и к идентификационной информации пользователей.
Только Lykke ответила на уведомление хакеров, подтвердив наличие уязвимости и быстро устранив её. Несмотря на отсутствие обратной связи от Hubdex, аналитики заявляют, что эта платформа тоже решила проблему на своей стороне.
К счастью, специалистам удалось обнаружить уязвимости раньше, чем северокорейским хакерам, которые всё чаще атакуют пользователей криптовалют в свете ухудшения экономической ситуации.
