Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 075Phishing / Ingénierie sociale

Contournement 2FA Crypto.com

Un contournement de 2FA a drainé 34 M$ depuis 483 comptes Crypto.com ; les attaquants ont autorisé des transactions sans que le second facteur ne soit demandé.

Date
Victime
Crypto.com
Chaîne(s)
BitcoinEthereum
Statut
Récupéré

Le 17 janvier 2022, Crypto.com a détecté des retraits suspects sur 483 comptes clients. Les pertes totales se sont établies à environ 34 millions de dollars — environ 15 M$ en ETH, 19 M$ en BTC et le reste dans d'autres actifs. L'attaque était inhabituelle en ce qu'elle a contourné l'authentification à deux facteurs sur un grand échange sans que l'utilisateur ne soit sollicité.

Ce qui s'est passé

Crypto.com a initialement refusé de partager les détails techniques — ses premières déclarations ont caractérisé l'événement comme « activité non autorisée » sans confirmer une brèche. Après plusieurs jours de pression communautaire et d'analyses tierces, l'entreprise a confirmé que les transactions sur les comptes affectés avaient été approuvées par les systèmes de Crypto.com sans que le défi 2FA correspondant ne soit jamais montré aux utilisateurs.

Le mécanisme exact n'a jamais été publiquement divulgué — les possibilités incluaient des endpoints d'API internes compromis, un vol de jeton de session suivi d'une élévation de privilèges, ou un bug backend permettant à certains types de transaction de sauter la porte 2FA. Ce qui était clair des preuves on-chain était que l'attaquant :

  • N'avait pas besoin des identifiants utilisateur ou des jetons 2FA pour les 483 comptes victimes.
  • A drainé à la fois les soldes ETH et BTC chauds via l'interface de retrait normale de Crypto.com, la plateforme elle-même traitant les transactions comme autorisées.

Conséquences

  • Crypto.com a révoqué tous les jetons 2FA clients, forcé la ré-inscription, et ajouté un délai obligatoire de 24 heures avant le premier retrait vers une adresse nouvellement enregistrée.
  • Tous les comptes affectés ont été remboursés depuis les réserves d'entreprise.
  • Le CFO et les équipes de sécurité se sont publiquement engagés sur un programme d'assurance cyber mondial de 750 K$ et autres étapes de remédiation publique-relations.

Pourquoi c'est important

Crypto.com a montré que la 2FA n'est aussi bonne que le serveur qui l'applique. La vérification cryptographique côté utilisateur est dénuée de sens si le backend saute la vérification — et le mode de défaillance est silencieux : les utilisateurs ne voient pas de prompt, ne voient pas de retrait dans leur session, ne découvrent la perte qu'en vérifiant les soldes.

L'incident a accéléré l'adoption industrielle de :

  • Périodes de refroidissement obligatoires pour les nouvelles adresses de retrait (le propre délai de 24 heures de Crypto.com, maintenant courant à travers les échanges).
  • Confirmation de retrait hors bande (email + notification push + 2FA), pour qu'un attaquant compromettant le seul chemin 2FA ne suffise pas.
  • Détection d'anomalies par IP et par appareil qui se déclenche sur le type de schéma de retrait de masse que Crypto.com a vu sur 483 comptes simultanément.

Sources & preuves on-chain

  1. [01]techcrunch.comhttps://techcrunch.com/2022/01/20/2fa-compromise-led-to-34m-crypto-com-hack/
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-crypto-com-hack-january-2022
  3. [03]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/cryptocom-confirms-483-accounts-hacked-34-million-withdrawn/

Dépôts liés