A exchange de criptomoedas japonesa Coincheck diz que os hackers assumiram o controle de sua conta em um registrador de domínio local e sequestraram um de seus nomes de domínio, que posteriormente foram usados para entrar em contato com alguns de seus clientes.
A Coincheck interrompeu as operações de remessa em sua plataforma na terça-feira enquanto investigava o incidente. Outras operações, como saques ou depósitos, não foram bloqueadas.
De acordo com um relatório de incidente publicado ontem, a empresa disse que o ataque inicial ocorreu no domingo, 31 de maio. Os hackers obtiveram acesso à conta da Coincheck no Oname.com, provedor de registro de domínio da empresa. Oname também confirmou o incidente .
Embora a Coincheck não tenha fornecido detalhes técnicos sobre o ataque, o pesquisador de segurança japonês Masafumi Negishi disse que os hackers modificaram a entrada DNS principal do domínio coincheck.com da Coincheck.
A exchange japonesa usa o serviço DNS gerenciado da Amazon, o que significa que um servidor DNS da Amazon estava lidando com a operação de retornar o endereço IP do servidor no qual os clientes dos usuários (navegador, aplicativos móveis, carteiras) precisavam se conectar ao domínio coincheck.com.
Hackers registraram domínio parecido com o da Coincheck
De acordo com Masafumi , o hacker registrou um domínio parecido no servidor da AWS e substituiu o awsdns-61.org original por awsdns-061.org (observe o 0 extra na frente de 61 ) no back-end do Oname.com. Isso permitiu ao hacker gerenciar consultas DNS para o portal Coincheck.
Os hackers não usaram esse acesso para redirecionar todo o tráfego da Web da exchange para um clone do Coincheck. Tal ataque teria sido detectado imediatamente.Em vez disso, os hackers enviaram e-mails de spear-phishing para certos usuários, personificando o domínio coincheck.com e redirecionando respostas de e-mail para seus próprios servidores.
Coincheck diz que detectou o ataque depois de observar anormalidades no tráfego. Os hackers tiveram acesso ao domínio da empresa até segunda-feira, 1 de junho às 20:52, horário de Tóquio, quando a empresa recuperou o acesso ao seu domínio.Acredita-se que os hackers entraram em contato com os clientes e pediram que eles verificassem as informações da conta, que poderiam ser reutilizadas posteriormente para invadir contas e roubar fundos.
Coincheck disse que cerca de 200 clientes parecem ter se envolvido com os hackers, acreditando que estavam se comunicando com a equipe oficial da Coincheck.A exchange japonesa disse que não tinha evidências para confirmar que os hackers usaram qualquer informação que possam ter aprendido durante as recentes conversas por e-mail para violar contas e roubar fundos.
A plataforma está atualmente classificada em 39ª na lista das principais exchanges do CoinMarketCap. A empresa é famosa por ser hackeada em janeiro de 2018 e perder US$ 500 milhões, o maior roubo de criptomoedas da história .
Traduzido e adaptado de: zdnet.com
