Клієнт Gate.io повідомив про несанкціоноване виведення криптоактивів на суму 1,7 мільйона доларів (приблизно 2,6 мільярда вон) 8-го числа. X-інфлюенсер 'jheioff' заявив, що, незважаючи на те, що акаунт був верифікований на реальне ім’я і активований із двофакторною автентифікацією через телефон, Google-автентифікацією та email-автентифікацією, усі активи були виведені без отримання будь-яких SMS-кодів підтвердження. Інцидент стався після листа про скидання пароля 4-го та сповіщення про зміну email-акаунта 5-го числа, що викликало занепокоєння щодо протоколів безпеки біржі та первинного реагування.
X-інфлюенсер 'jheioff' розкрив 8-го числа, що обліковий запис Gate.io був скомпрометований, і всі активи на суму 1,7 мільйона доларів (приблизно 2,6 мільярда вон) були виведені. Клієнт пояснив, що акаунт був верифікований за реальним ім’ям із увімкненими телефонною автентифікацією, Google-автентифікацією та email-автентифікацією, і жодних SMS-кодів підтвердження на телефон не надходило. Клієнт заявив, що ніяких відео або фото документів ID не надавав.
Згідно з обліковим записом клієнта, 4-го числа надійшов лист із підтвердженням для скидання логін-пароля, а 5-го — сповіщення про зміну email-акаунта, після чого відбулося виведення коштів. Клієнт вимагав, щоб Gate.io встановила, хто подав ці матеріали, і запровадила компенсаційні заходи.
Gate.io заявила 8-го числа, що «це питання перебуває на терміновому розслідуванні та, схоже, є індивідуальним випадком, без уразливостей у системі безпеки». Однак з’явилася критика щодо первинної відповіді, адже крадіжку активів було підтверджено, що підвищило сумніви щодо довіри.
У міру загострення полеміки Gate.io 11-го числа опублікувала вибачення. Біржа зазначила: «Наша позиція була некоректною у процесі первинної зовнішньої комунікації, і ми не приділили пріоритет емоціям користувачів». Gate.io додала: «Хоча під час первинного розслідування не було виявлено ризиків безпеки платформи, втрати й тривога, з якими зіткнулися користувачі, очевидні».
Gate.io навела три причини неправильної первинної комунікації: повнота й точність інформації, яку надав заявник для змін налаштувань безпеки, була надзвичайно високою; листи та SMS-повідомлення надсилалися клієнту, коли він запитував зміни налаштувань безпеки; і IP-адреса була в тому ж регіоні, що й останні доступи. Біржа пояснила, що відстежує траєкторію руху витрачених коштів, підтримує запити на замороження та подання заяв до поліції, а також веде розшук коштів. Gate.io додала: «Хоча існує невизначеність, ми докладатимемо зусиль для відновлення коштів користувачів, доки є навіть найменша можливість».
Які заходи безпеки були увімкнені в клієнта Gate.io до несанкціонованого виведення?
Клієнт мав увімкнені телефонну автентифікацію, Google-автентифікацію та email-автентифікацію на реальному імені, верифікованому акаунті.
Що Gate.io заявила у своєму вибаченні 11-го числа?
Gate.io визнала, що її позиція була некоректною у процесі первинної зовнішньої комунікації, і заявила, що вона не приділила пріоритет емоціям користувачів, водночас підтвердивши, що втрати й тривога, з якими зіткнулися користувачі, чітко існують, незважаючи на те, що під час первинного розслідування не було виявлено ризиків безпеки платформи.
Пов’язані новини