BingX, singapurska giełda kryptowalut, padła ofiarą ataku hakerskiego, którego celem były jej gorące portfele.
Atak dotknął kilku blockchainów, a Cyvers Alerts oszacował łączną stratę na ponad 52 miliony dolarów.
BingX potwierdza włamanie do Hot Wallet
Incydent został początkowo wykryty przez firmę zajmującą się bezpieczeństwem blockchain PeckShield, która zgłosiła „podejrzany znaczny odpływ środków” z giełdy w łącznej kwocie ponad 13,5 mln USD w poście z 20 września na X. Kwota ta została później skorygowana do 26,7 mln USD, gdy zakres exploita stał się jaśniejszy.
Dyrektor ds. produktów firmy, Vivien Lin, odniosła się do naruszenia w osobnym poście, stwierdzając, że około godziny 4 rano czasu singapurskiego zespół techniczny wykrył nieprawidłowy dostęp do sieci, podejrzewając atak na ich gorący portfel.
W odpowiedzi giełda z siedzibą w Singapurze zainicjowała plan awaryjny, który obejmował pilne przekazanie aktywów i wstrzymanie wypłat.
„Aby chronić aktywa użytkowników, wykorzystujemy warstwowy system zarządzania, przy czym większość jest przechowywana w zimnych portfelach, a tylko minimalna ilość jest przechowywana w gorących portfelach na potrzeby wypłat” – wyjaśniła Lin. Zapewniła użytkowników, że chociaż wypłaty zostały tymczasowo wstrzymane w celu przeprowadzenia awaryjnej inspekcji, ich celem jest przywrócenie usług w ciągu 24 godzin.
Oficjalne konto X firmy BingX dodało: „Do tej pory ponieśliśmy tylko niewielkie straty i mamy to pokryte”, wyjaśniając, że większość aktywów pozostała bezpieczna w zimnych portfelach, a w gorącym portfelu ucierpiała tylko ograniczona część.
Lin powtórzył to, stwierdzając, że ogólna strata była „niewielka i możliwa do opanowania”, podkreślając, że aktywa użytkowników były bezpieczne i dobrze chronione w ramach wielowarstwowego systemu zarządzania aktywami.
Obawy dotyczące przejrzystości
Jednak dane pochodzące z platform bezpieczeństwa on-chain malują inny obraz. PeckShield ujawnił, że oprócz początkowo wykradzionych 26,7 mln USD, kolejne 16,5 mln USD zostało wypompowane kilka godzin później, zwiększając całkowite szacowane straty do ponad 43 mln USD.
Cyvers Alerts później zaktualizowało liczbę strat, wskazując, że suma przekracza teraz 52 miliony dolarów, a większość skradzionych aktywów została zamieniona. Dotknięte łańcuchy obejmują Ethereum, BNBChain, BASE, Optimism, Polygon, Arbitrum i Avalanche.
Według danych EtherScan, adres współdzielony przez PeckShield otrzymał miliony dolarów w różnych tokenach z wielu blockchainów. Źródłem tych transferów był portfel oznaczony jako „BingX 15”, jeden z gorących portfeli giełdy.
Tego samego dnia BingX wydał komunikat o tymczasowej konserwacji swojego systemu portfela, ostrzegając użytkowników, że wpłaty i wypłaty mogą ulec opóźnieniu.
Jednak to powiadomienie spotkało się z krytyką ze strony społeczności kryptowalutowej. Harrison Leggio, współzałożyciel startupu kryptowalutowego g8keep, skomentował ich przejrzystość, zadając pytanie, czy sytuacja była tylko „konserwacją portfela”, to dlaczego nastąpiła „niewielka strata aktywów”?
Zachęcał użytkowników do rozważenia bezpieczniejszych platform, stwierdzając: „Jeśli zamierzacie korzystać ze [centralnej giełdy], proszę, wybierzcie taką, która nie wykorzystuje tego typu luk w zabezpieczeniach”.
Artykuł Giełda kryptowalut BingX w Singapurze padła ofiarą ataku hakerskiego. Podobno skradziono ponad 52 mln dolarów