2度のハックから復活したFixedFloatのサバイバル・ストーリー

2月、分散型暗号通貨取引所FixedFloatがドレイナー攻撃を受け、ビットコイン（BTC）とイーサリアム（ETH）2,600万ドル相当以上が失われた。3月下旬までに、同取引所は2度目のエクスプロイトに見舞われ、さらに280万ドルの損失が発生した。

数カ月後、FixedFloatはBeInCryptoにこれらの事件の詳細と現在進行中の調査を報告した。

FixedFloatは今年2回もハッキングされた。なぜこのようなことが起きたのでしょうか？

最初のハッキングは2月16日から17日の夜に起こりました。これは当社のセキュリティ構造の脆弱性に起因する外部からの攻撃でした。ハッカーは私たちのセキュリティの脆弱性を悪用し、FixedFloatの機能の一部にアクセスすることができました。2回目の侵入は3月31日に行われ、ハッカーは当時私たちが利用していたサードパーティ・サービスの脆弱性を悪用しました。

2回目のハッキングは、前回のハッキングと同じハッカーによるものですか、それとも別の攻撃者ですか？

攻撃の発信元が同じIPアドレスであることから、同じハッカーが両方のハッキングを行ったと考えています。現時点では詳細をお伝えすることはできません。しかし、ハッカーが多数の侵害されたサーバーを所有していることは報告できる。

これらのサーバーのいくつかには、攻撃のためのインフラが配備されている。彼らはおそらく自分たちのデバイスに証拠を保存せず、サードパーティのサーバーを使用したのだろう。ハッカーは多数のユニークなIPアドレスを使用していたが、一部は両方の攻撃に使用された。

ハッキングの背後にいる人物についての情報はありますか？

私たちは長い間Time4VPSホスティングを利用しています。これは2012年から運営されているヨーロッパのかなり大きなウェブホスティングプロバイダーです。このホスティングは低パフォーマンスでかなり安いサーバーを提供しているので、私たちはTime4VPSを選びました。これは、私たちのプロジェクトの開発の初期段階で、いくつかの技術的なソリューションを実装するための便利で収益性の高いオプションでした。

過去数年間、私たちはサブサーバーとウォレットを移行してきました。2024年の初めには、ウォレットといくつかのサブシステムを備えたいくつかの低電力ノードがTime4VPSサーバーに残っていました。最初のハッキングの後、ハッカーはTime4VPSから借りていた技術サーバーの1つのIPアドレスを発見しました。

ハッカーはどのようにその情報を使用したのですか？

ハッカーは、1つのIPアドレスしか知らなかったにもかかわらず、Time4VPSホスティングから借りている私たちのすべてのサーバーに同時にログインしました。私たちはすぐにサーバーとアカウントのすべてのパスワードを変更しましたが、ハッカーはすぐにまたパスワードを変更しました。私たちはサーバーの認証を防ぐ解決策を見つけ、このホスティング・プロバイダーからの移行を開始しました。

しかし、ハッカーは全サーバーへのグローバルアクセスを含む、ホスティングプロバイダーの全機能にアクセスできるようになり、私たちの解決策は効果がなくなりました。ハッカーはアカウントの電子メールを無効なものに変更し、ログインやパスワード変更通知の受信を妨害しました。彼らは認証なしでサーバーに接続した。

この時点で、サーバーを破壊し、ホワイトリストから即座に削除する必要性に気づきました。私たちがそうするのが遅れたために、ハッカーは資金を盗むことができるリクエストを送ることができたのです。

ペックシールドレポート — 最初のハックに関するPeckshieldのレポート。ソースPeckshield

Time4VPSサポートに連絡しましたか？

3月31日、サーバーへの不正アクセスを発見した直後、Time4VPSにハッキングを報告するために連絡しました。私たちは彼らの不作為に非常に驚きました。テクニカルサポートは、技術者がその日は休みで、私たちをサポートできないと教えてくれました。翌日も、Time4VPSチームは活動的ではありませんでした。彼らはただ、私たちのアカウントのパスワードを変更するようアドバイスしただけでした。

私たちは最終的に、特定のアクションが個人アカウントから実行できないことを確認するよう説得しました。その時初めて、彼らはハッキングを確認し、翌日に事件に関するレポートを提供することを約束した。

Time4VPSからハッキング報告を受けましたか？

3ヶ月以上経過しましたが、Time4VPSからの報告はまだありません。それどころか、Time4VPSは私たちにシステムを通していくつかの書類を提出するよう要求してきました。Time4VPSの代表者が脆弱性を発見し修正したことを確認していないため、私たちは拒否しました。彼らの要求は、新たな情報漏えいのリスクを生み出しています。

我々は、法執行機関が直接関与する場合、または脆弱性が修正されたことを確認した場合にのみ協力することに同意した。さらに、我々の弁護士は、報告や支援を受けるために必要な書類を同社のオフィスで直接提供する用意があった。しかし、Time4VPSの経営陣はこの申し出を拒否しました。

なぜTime4VPSはハッキング時に活動せず、ハッキング後に支援を提供しなかったと思いますか？

私たちは、ホスティング会社の従業員がハッキングを促進した可能性を排除しません。しかし、私たちはTime4VPSとその背後にあるリトアニアの会社が単に不注意であると信じたいのです。私たちは、このホスティング会社の重要な脆弱性が修正されないままであり、すべての顧客のデータがハッカーの攻撃から保護されないままになっていると考えています。

ハッキングは顧客に影響を与えましたか？

この事件は当社だけでなく、ユーザーにも問題を引き起こしました。ハッキングを検知するとすぐに、FixedFloatを停止し、現在進行中のすべての取引を停止しました。

FixedFloatは自動化された、非保護型の中央集中型の暗号通貨交換サービスですので、ユーザーの資金を保管することはありません。また、FixedFloatは暗号通貨ミキサーではありません。当社は、当社のアドレスからのみ取引所に資金を送金しており、この情報は公開されています。

ハッキングのため、当時交換を行ったお客様に対して義務がありました。その後、当社はユーザーに対するすべての義務を果たし、サービス停止により停止したすべての注文を完了しました。ハッキングと資金の盗難に遭ったのは当社のサービスだけです。

ハッキングの後、どのような対策をとりましたか？

最初の侵入はセキュリティの脆弱性によるもので、その後修正しました。残念ながら、第三者からの攻撃は想定していませんでした。2回目のハッキングの後、私たちのサービスは2ヶ月以上メンテナンス中でした。この間、私たちのスペシャリストたちは、インフラを強化し、このような攻撃から保護するために広範囲に働きました。

私たちはセキュリティ・システムを抜本的に見直しました。これには、包括的な監査の実施、追加のセキュリティ対策の実施、脅威の検出と防止システムの改善などが含まれます。

技術的な作業は完了したのですか？

はい、FixedFloatは業務を再開しました。ほとんどの暗号通貨はすでに交換可能で、当社の専門家が新しい通貨の追加に取り組んでいます。私たちは6年間、高品質、便利で迅速な暗号通貨交換サービスを提供してきました。

ハッキングを生き延びた立場から、他のプラットフォームやそのユーザーに対して、セキュリティを向上させる方法についていくつか提言をいただけますか？

異なる理由で2度のハッキングを経験したサービスとして、以下のことをお勧めします：

セキュリティ・システムの監査を頻繁に実施すること。すべての脆弱性を特定し、迅速に対処すること。
プロバイダーの脆弱性に備える。2回目のハッキングは、ホスティング・プロバイダーであるTime4VPSの脆弱性を悪用したものでした。プラットフォームは、このようなシナリオを予測し、サービスプロバイダーのハッキングに対処するための強固な手順を持つべきです。
常にユーザーの安全を優先すること。ユーザーのデータと資金を保護するために、厳格なセキュリティ対策とプロトコルを導入してください。

このような事故を受けて、ユーザーの信頼を回復するためにどのような対策を講じていますか？

私たちは、ソーシャルネットワークやフォーラムなど、さまざまなコミュニケーションチャネルを通じて積極的にユーザーと関わっています。これによって、私たちが行った変更についてユーザーに知らせることができます。現在のところ、すべてのユーザーがFixedFloatが運営を再開したことを知っているわけではありませんが、私たちはこの情報を広める努力をしています。

ハッキングによるユーザーへの影響を心配された方が多かったことは理解しています。しかしながら、弊社は非保管サービスであり、ユーザーの資金を保管していないことを強調しておきます。緊急停止により履行されなかった注文は完了しています。現在のところ、ユーザーに対する金銭的な義務はありません。