Exmo

​Несколько дней назад популярному новостному изданию пришло письмо от читателя, в котором тот обвинил криптовалютную биржу Exmo в воровстве. Читатель привел, по его собственному мнению, неопровержимые доказательства столь недостойного поведения сотрудников биржи. Давайте внимательно изучим материал о трех случаях пропажи средств и сделаем собственные выводы.

Введение

Популярность биржи Exmo связана с возможностью вывода фиатных средств (USD и EUR) непосредственно на банковскую карту. Однако такая функция доступна только верифицированным аккаунтам. Процедура верификации требует предоставления паспортных данных, информации о месте регистрации, подписания соглашения, а также вашего фото с документом на фоне персонального аккаунта в EXMO. Верификация аккаунта может занять больше месяца.

Кроме этого, любой вывод средств с биржи требует подтверждения с помощью e-mail, либо с помощью двухфакторной аутентификации по смс или по TOTP (Google Authenticator). На пактике выглядит это так: после того как вы в личном кабинете запросили вывод средств, на почту приходит сообщение с ссылкой, перейдя по которой вы подтверждаете операцию. Затем запрос на вывод средств идет на проверку.

Со слов представителей биржи проверка вывода средств может занимать до 72 часов. Процедура действительно занимает много времени, что зачастую приводит к потерям из-за изменения курса.

Ниже приведен пример: на этот адрес неоднократно выводились деньги с российского ip-адреса. Но все равно проверка заняла 16 часов.

Есть еще один способ вывести средства без подтверждения — через API. Данный метод включается вручную по запросу в техподдержку. Также стоит уточнить, что при смене пароля и типа защиты включается блокировка вывода средств на два дня.

Что общего у трех случаев пропажи средств

В каждой истории вывод средств производился в достаточно короткие сроки и был запрошен через прокси, хотя ни один из пользователей не включал подобную функцию. Во всех трех историях пользователи осуществляли вход на биржу только с российских IP-адресов, а злоумышленники запрашивали вывод средств с зарубежных адресов. Имена всех героев изменены.

Первая история

Первый пользователь, назовем его Алексом, использует почту Gmail, где у него включена двухфакторная аутентификация, для входа на биржу двухфакторная аутентификация не была установлена. Алекс — программист, работает на Windows, технически грамотный человек. Использует Chrome, непроверенных плагинов не устанавливает, задействует разные пароли для сервисов.

Хронология событий:

— 26 января в 7:48 аккаунт Алекса проходит верификацию

— 28 января в 18:24 злоумышленник заходит в аккаунт из Люксембурга

— 28 января в 18:38 злоумышленник покупает криптовалюту в паре DOGE/BTC

— 28 января в 18:41 злоумышленник выводит криптовалюту DOGE с аккаунта

Обратите внимание, что в 18:41 был одобрен вывод, а не создана заявка. Никакое сообщение на почту Алексу не приходило, ни по каким ссылкам для подтверждения вывода средств он не переходил.

Представители биржи утверждают, что письмо с ссылкой на подтверждение вывода средств (ниже) было отправлено пользователю

В результате за минуты вывели Doge на сумму $1800. Почему-то проверка вывода в этот раз сработала оперативно, и службу безопасности не смутило, что пользователь зашел из Люксембурга и впервые решил вывести валютуна данный адрес.

Вторая история

Еще один пользователь по имени Боб также завел деньги на биржу, покупал и продавал монеты, иногда выводил прибыль на электронные кошельки. У Боба на сайте Exmo была включена двухфакторная аутентификация по смс. По каким-то причинам Боб не мог войти в свой аккаунт более 30 дней, в том числе и в момент, когда был произведен незаконный вывод средств. Техподдержка отвечала на сообщения медленно и неохотно.

Хронология событий:

— 30 декабря в 9:22 злоумышленник заходит на биржу из Амстердама. Боб не был онлайн с 27 декабря, 30 декабря смс о подтверждении входа на биржу ему не приходила

— 30 декабря в 9:23 злоумышленник меняет валюту в паре WAVES/BTC

— 30 декабря в 9:26 злоумышленник выключает аутентификацию по смс и включает TOTP (Google Authenticator). Здесь же видно, что злоумышленник запрашивал восстановление пароля в 9:22 и за минуту вошел в аккаунт

— 2 января в 9:29 злоумышленник получает деньги. Ровно через 2 дня после смены способа защиты. То есть проверку опять удалось удачно пройти, несмотря на нетипичный IP-адрес, новый адрес вывода, а также смену способа защиты и пароля

В итоге со счета было выведено около $300. Боб смог зайти в аккаунт только в феврале.

Представители биржи опровергают наличие настроенной двухфакторной аутентификации по смс: «У пользователя НЕ был настроен СМС-вход (2FA) , по самой верхней строчке видно что пользователь указал телефон на который ему был выслан код для настройки смс-входа, но код не был введен и следовательно настройка НЕ была завершена».

Третья история

Третью пострадавшую зовут Виктория, она давно занимается торговлей и обменом криптовалюты и имеет достаточно хорошую репутацию на сервисе LocalBitcoin. Виктория использует Mac OS X, следит за безопасностью, никаких плагинов не ставит, пользуется почтой Mail.ru, на которой включена аутентификация по смс. Однако пароль от Exmo и от почты Mail.ru у Виктории был одинаковый.

В результате злоумышленнику удалось отключить двухфакторную аутентификацию на почте Mail.ru, каким-то образом получив паспортные данные Виктории и предоставив их службе поддержки

В этом случае средства были выведены не только с биржи Exmo, а также с кошелька LocalBitcoin и биржи Yobit.

Хронология событий:

— 4 февраля в 12:07 злоумышленник входит в аккаунт биржи Exmo

— 7 февраля в 18:33 злоумышленнику удалось войти на почту Mail.ru после отключения верификации

— 7 февраля в 18:42 (15:42) злоумышленник проводит торги, переводя все средства в BTC

— 7 февраля в 19:13 (16:13) злоумышленник полностью выводит все BTC с аккаунта биржи Exmo

В итоге, вывод BTC подтвердили за 30 минут. Общая сумма, выведенная со всех сервисов, составила $35,000.

Комментарий представителя Exmo: «Так как пароли были одинаковые, то был получен доступ к аккаунту, где пользователь загружал данные на верификацию (картинку скачать злоумышленник не мог, но знал данные пользователя: дату рождения, номер паспорта и мог найти данные в базе банков), учитывая, что пароли совпадают на почте и сайте EXMO, вероятнее всего, что они совпадают и на других сервисах откуда могли получить личные данные пользователя».

Информация к размышлению. Как работает сброс пароля

Если включить двухфакторную аутентификацию, выйти из аккаунта и запросить восстановление пароля, то можно получить новый пароль в открытом виде на почте.

При этом старый пароль все еще работает.

В связи с этим возникает несколько вопросов:

• Возможно ли, что Exmo хранит пароли в открытом виде?
• Может ли кто-нибудь из сотрудников перехватывать письма, отправленные в адрес пользователей, и выводить средства со счетов?

Официальный ответ биржи Exmo

— Как часто у вас происходят подобные мошеннические случаи вывода средств?

Действительно, такие случаи встречаются, однако крайне редко и связаны исключительно с тем, что пользователи не соблюдают рекомендации и правила по обеспечению безопасности своих аккаунтов на платформе.

— Будут ли предприняты какие-то дополнительные меры для повышения надежности биржи?

Платформа постоянно работает над повышением безопасности аккаунтов и предоставляет весь доступный спектр современных инструментов для защиты. Также со стороны EXMO происходит регулярное информирование пользователей о необходимости защиты аккаунтов и доступных инструментах безопасности. При этом, каждый пользователь несет персональную ответственность за сохранность своих личных средств на биржевом счете.

— Рассматриваете ли вы версию, что сотрудники биржи могут незаконно выводить средства пользователей?

Подобные сценарии исключены, поскольку работа департаментов децентрализована таким образом, чтобы сотрудники имели доступ только ограниченному количеству информации необходимому для решения операционных задач. Ни один из сотрудников EXMO не обладает достаточным количеством доступов, чтобы совершить мошеннические действия.