Клиент Gate.io сообщил о несанкционированном выводе 1,7 миллиона долларов (примерно 2,6 миллиарда вон) в криптовалютных активах 8-го числа. Инфлюенсер X «jheioff» заявил, что несмотря на включённые телефонную аутентификацию, Google-аутентификацию и аутентификацию по электронной почте на аккаунте с верификацией личности, все активы были выведены без получения каких-либо SMS-кодов подтверждения. Инцидент последовал за письмом о сбросе пароля 4-го числа и уведомлением об изменении адреса электронной почты аккаунта 5-го, что вызвало опасения относительно протоколов безопасности биржи и того, как она отреагировала на начальном этапе.
Инфлюенсер X «jheioff» раскрыл 8-го числа, что аккаунт Gate.io был скомпрометирован и что все активы на сумму 1,7 миллиона долларов (примерно 2,6 миллиарда вон) были выведены. Клиент пояснил, что аккаунт был верифицирован по методу реального имени: на нём были настроены телефонная аутентификация, Google-аутентификация и аутентификация по электронной почте, однако на телефоне не приходили SMS-коды подтверждения. Клиент заявил, что никакие видео или фото документов удостоверения личности не предоставлялись никому.
Согласно объяснениям клиента, проверочное письмо о сбросе логин-пароля пришло 4-го числа, затем 5-го было отправлено уведомление об изменении email аккаунта, после чего произошёл вывод средств. Клиент потребовал, чтобы Gate.io установила личность человека, который подал эти материалы, и определила меры компенсации.
8-го числа Gate.io заявила, что «это дело находится на срочном расследовании и, по-видимому, является единичным случаем, при этом в системе нет уязвимостей безопасности». Однако на фоне подтверждения кражи активов и возникновения вопросов к доверию появилась критика первоначального ответа.
По мере усиления споров Gate.io 11-го числа опубликовала извинения. Биржа заявила: «Наше отношение было некорректным в первоначальном процессе внешней коммуникации, и мы не уделили приоритет пользовательским эмоциям». Gate.io добавила: «Хотя в ходе первоначального расследования не были выявлены риски безопасности платформы, потери и тревога, которые испытывают пользователи, очевидно, существуют».
Gate.io привела три причины недостаточной первоначальной коммуникации: уровень полноты и точности информации, предоставленной заявителем для изменения настроек безопасности, был необычно высоким; письма и текстовые сообщения были отправлены клиенту, когда запрашивались изменения настроек безопасности; и IP-адрес находился в том же регионе, что и адреса недавнего доступа. Биржа объяснила, что отслеживает маршрут движения утекших средств, поддерживает запросы на заморозку и заявления в полицию, а также ведёт работу по возврату средств. Gate.io добавила: «Хотя есть неопределённость, мы будем прилагать усилия для возврата пользовательских средств, пока существует даже малейшая вероятность».
Какие меры безопасности были включены у клиента Gate.io до несанкционированного вывода?
Клиент настроил на верифицированном по реальному имени аккаунте телефонную аутентификацию, Google-аутентификацию и аутентификацию по электронной почте.
Что Gate.io заявила в своём извинении 11-го числа?
Gate.io признала, что её отношение было некорректным в первоначальном процессе внешней коммуникации, и заявила, что не уделила приоритет пользовательским эмоциям, при этом подтвердив, что потери и тревога пользователей явно существуют, несмотря на то, что в ходе первоначального расследования не были выявлены риски безопасности платформы.
Связанные новости