De Cashaa Hack: onderzoekers blijven stil als Inside Job Rumors Emerge.

Aangezien 336 BTC gestolen wordt van de crypto-vriendelijke bank Cashaa, is er nog steeds geen duidelijke verklaring voor wat er gebeurd is.

Op 11 juli hackten fraudeurs in het digitale betalingsplatform Cashaa’s loket, dat Indiase klanten bedient, en stalen 336 Bitcoin (BTC), met een waarde van ongeveer 3,1 miljoen dollar. Hoewel Cashaa verklaarde dat er geen gebruikers zijn getroffen door deze hack, hebben ze alle crypto-gerelateerde transacties 24 uur lang hard tegengehouden om het incident beter te begrijpen.

Cashaa is een in het Verenigd Koninkrijk gevestigde crypto-vriendelijke bank die zich bezighoudt met Bitcoin OTC-operaties en werkt met grote traditionele en crypto-uitwisselingen in India. Volgens een officiële verklaring vond het incident plaats met een OTC-transactiemanager in Oost-Delhi, India, wiens persoonlijke computer werd aangevallen met malware. Kumar Gaurav, oprichter en CEO van Cashaa, onthulde aan Cointelegraph meer details over de onderliggende omstandigheden die tot dit incident hebben geleid:

„Op 8 juli 2020 had de werknemer een machinestoring gemeld met de computer die hem door het bedrijf ter beschikking was gesteld. Daarom vroeg hij om te werken vanaf zijn pc om meerdere alternatieve online portemonnees op te zetten op verschillende platformen zoals Blockchain.com, Huobi, enz. We maakten een uitzondering en stonden hem toe dit te doen, waarbij we rekening hielden met de ‚klantervaring‘ voor de lopende OTC-deals/transacties.

De omstandigheden die tot de hack hebben geleid

Cashaa gaat ervan uit dat er malware is geïnstalleerd op de personal computer van de werknemer, die is gekoppeld aan een systeem dat uitwisselingstransacties via het systeem mogelijk maakt. De gerichte portemonnee was er een die Cashaa gebruikte op Blockchain.com voor Bitcoin-transacties. Gaurav voegde er ook aan toe dat het gecompromitteerde apparaat na het ongeluk in bewaring is gegeven aan het onderzoeksteam van het bedrijf en dat de werknemer tot het einde van het onderzoek is geschorst. Om de methoden die gebruikt worden om in te breken in het Cashaa ecosysteem verder te bespreken, onthulde Gaurav:

„Hackers kregen de controle over de computer van onze werknemer met actieve sessies geopend in de browser. De hackers maakten gebruik van verschillende technieken, waaronder phishing, virussen en andere aanvallen. We zijn nog steeds bezig met het afronden van alle mogelijke methoden die gebruikt zijn.“

Het bedrijf geeft aan dat het een incidentenrapport heeft ingediend bij de afdeling Cybercrime van het Delhi Crime Bureau. Cashaa deelde zelfs het Bitcoin-portemonnee-adres van de hacker in een tweet, waarbij alle belangrijke beurzen, namelijk WazirX, Binance, CoinDCX en Bitbns, werden getagd en aangespoord om alle transacties met betrekking tot het adres en andere portemonnees die sinds het incident met de hacker zijn afgehandeld, te controleren.

Aftermath

Onmiddellijk na het incident heeft Cashaa een bestuursvergadering belegd om te beslissen of het bedrijf alle verliezen zou opvangen en hoe deze incidenten in de toekomst kunnen worden vermeden. Cointelegraph besprak de uitkomst van deze bestuursvergadering met Gaurav, en hij verklaarde dat er binnenkort een aankondiging zal worden gedaan: „Dit is een landspecifiek incident en daarom zal het management van die dochteronderneming (Cashaa India OTC) met een aantal deliverables komen, waaronder standaarden voor toekomstige operaties, veiligheid en klantrelaties.“

Het zou essentieel zijn voor het bedrijf om deze verliezen te verantwoorden en te absorberen binnen hun ecosysteem, aangezien dergelijke hacks meestal onopgelost blijven. Nochtans, hebben de hoogste stafmedewerkers van uitwisselingen zoals ZebPay, WazirX, CoinDCX en Bitbns hun steun voor Cashaa op Tjilpen getoond, verzekerend het bedrijf dat zij alle noodzakelijke voorzorgsmaatregelen zullen nemen om ervoor te zorgen dat zij niet de beweging van die fondsen toestaan als zij kunnen worden opgespoord.

Gaurav erkende deze steun en gaf verder commentaar op de mogelijkheid van herstel door te verwijzen naar de Upbit hack: „Al onze partners en klanten hebben zich verenigd om een sterke boodschap uit te dragen aan hackers dat het verzilveren van gehackte Bitcoin niet gemakkelijk zal zijn“. Hij voegde eraan toe dat veel beurzen „het adres van de hacker op de zwarte lijst hebben gezet.“

De gemeenschap is op zijn hoede voor zulke hacks

Te midden van verschillende Twitter-beweringen dat deze hack leek op een frauduleuze exit scam, die zelfs vragen stelde over de CAS-valuta van het bedrijf, vertelde een bron, die ervoor koos om anoniem te blijven, Cointelegraph dat het wordt geloofd dat de diefstal een binnenwerk was dat door een hooggeplaatste leidinggevende van de bank werd gedaan. Cointelegraph besprak deze mogelijkheid Daniel Worsley, een medeoprichter en de chief operating officer van LocalCoinSwap – een peer-to-peer cryptocurrency marktplaats – die verklaarde:

„Het is zeker aannemelijk dat dit een inside hack zou kunnen zijn. Cashaa zal nu een intern onderzoeksproces starten om te proberen vast te stellen hoe de malware op de computer is terechtgekomen en wie er toegang had tot de portemonnee die werd doorbroken“.

Het is ook belangrijk om op te merken dat 336 BTC werd opgeslagen in een hete portemonnee zonder meervoudige handtekeningen, wat zeer vreemd lijkt voor een bedrijf met betalingsdeskundigheid. Nu er meer dan een week voorbij is gegaan na de hack en ondanks dat de getroffen computer in zijn bezit is, heeft Cashaa nog steeds niet aangekondigd wat de oorzaak was van de aanval. Cointelegraph besprak meer over de details met Sidharth Sogani, de oprichter en CEO van CREBACO – een crypto-onderzoeks- en analysebureau – die onthulde:

„De fondsen waren op een enkele handtekening erfenis hete portemonnee, die niet geschikt is voor een uitwisseling. De fondsen werden verplaatst naar legacy portemonnees ook, meestal geplande hackers gebruiken geen legacy meer, ze gebruiken bech32 als het sneller is, zeker de hack was niet door een hacker, maar iemand naïef op de tech“.

Er op wijzen hoe de fondsen werden opgeslagen was ook een schending van het gemeenschappelijke protocol, Sogain verklaarde verder: „Volgens de CREBACO benchmarks, moet elke digitale activabeurs met meer dan 100 BTC een HSM hebben om de fondsen te beschermen.“ Toen Cashaa de mogelijkheid van een inside job becommentarieerde, kon het bedrijf niet met vertrouwen toezeggen dat dit niet het geval was. Gaurav verklaarde:

„Het lijkt niet op een inside job. Het onderzoekende cybercriminaliteitsbedrijf heeft ons geen hint in die richting gegeven. Bovendien kunnen we nergens zeker van zijn tot de tijd dat die ‚gehackte Bitcoins‘ zijn ingekapseld en het spoor eindigt bij een uiteindelijke begunstigde“.

Mogelijkheden onder goede regelgeving

Aangezien deze hack de Indiase entiteit Cashaa heeft getroffen, waar er weinig of geen regelgeving is rond cryptokringen, is er geen regelgevende instantie die kan ingrijpen om de kwestie op te lossen en te helpen bij het terugvorderen van de verloren gegane fondsen. Worsley heeft de zaak goed uitgedacht:

„Ik geloof dat regelgeving kan helpen om het risico van hacks als deze te verminderen. Als alternatief kunnen gebruikers zichzelf veilig houden door gebruik te maken van gedecentraliseerde beurzen waar ze de controle hebben over hun fondsen en particuliere cryptografische sleutels gedurende het hele handels- en activa-opslagproces.

Voor een perspectief op de veiligheid van ecosystemen heeft Cointelegraph contact opgenomen met Javvad Malik, een beveiligingsbewustzijnsverdediger bij KnowBe4 – een webbeveiligingsbewustzijnstrainingsplatform. Door uit te weiden over de systemen die crypto-platforms van traditionele banken zouden kunnen overnemen, zei hij:

„Maar zelfs zonder regelgeving moeten cryptocrpupuitwisselingen kijken naar het implementeren van strenge beveiligingen in processen, technologieën en mensen om de kans op fraude of diefstal te verminderen. Dit zou betekenen dat de controles vergelijkbaar zijn met die van traditionele banken, zoals multi-factor authenticatie, scheiding van taken, gescheiden systemen en bewustmakingstraining voor gebruikers, controles voor het opsporen van bedreigingen en responsmogelijkheden, om er maar een paar te noemen“.

Ongeacht de regelgeving, Worsley vindt dat deze hack vermeden had kunnen worden als Cashaa niet de portemonnee van Blockchain.com – een portemonnee van een derde partij – had gebruikt om zijn fondsen te beheren. Hij gaf verder commentaar: „Veel van de meest gerenommeerde beurzen maken gebruik van hardware-portemonnees of hardware-beveiligingsmodules om de crypto-activa onder beheer op te slaan en te beheren. Hoewel geen enkel systeem 100% veilig is, zou een dergelijke opstelling veel moeilijker te doorbreken zijn“.

Insider job of niet, dergelijke hacks in de crypto-industrie voorspellen niet veel goeds voor de algemene reputatie van de sector in de hoofden van zowel de investeerders als de bestuursorganen. Vooral in een land als India zijn de regelgevers pas begonnen met het begrijpen van de nuances van crypto- en blokkadetechnologieën.