Thunder Terminal ramt af ekstern exploit
Decentraliserede platform Thunder Terminal har for nylig stået over for en ekstern exploit, der resulterede i uautoriseret adgang til 114 af over 14.000 tegnebøger på sit netværk. Platformen hævder dog, at brugernes midler er sikre, på trods af alvoren af hændelsen.
Platformen opdagede, at en tredjepartstjeneste, de anvendte, var blevet kompromitteret og hævdede senere, at exploit blev hurtigt indeholdt, da det blev stoppet inden for ni minutter efter opdagelsen.
Svindelnummer, tilbagebetaling og løsning
I et efterfølgende opslag forklarede Thunder Terminal, at den mistænkelige udtrækning begyndte kl. 12:11:47 UTC, hvilket førte til, at en ondsindet aktør fik adgang til en MongoDB-forbindelses-URL, som de brugte til at trække sessionskoder og foretage udtrækninger på vegne af brugere.
Platformen forsikrede, at ingen private nøgler eller tegnebøger blev kompromitteret, da udnyttelsen skete gennem udtrækningsanmodninger, som deres server betragtede som autoriserede på grund af lækkede sessionskoder.
På grund af hændelsen gik omkring 86 Ethereum (ETH) og 439 Solana (SOL) tabt. Thunder Terminal lovede imidlertid, at alle tabte midler ville blive refunderet fuldt ud, og de berørte brugere ville få 0% gebyrer og $ 100.000 i kreditter hver, mens holdet gik videre til nødvendige procedurer.
Ifølge opslaget har virksomheden kontaktet Federal Bureau of Investigation (FBI), planlagt at tilføje tofaktorgodkendelse til udtrækninger og gennemgået en omfattende teknisk revision. “Adgang til platformen vil blive genoprettet så hurtigt som muligt,” sagde Thunder Terminal.
Hacker modbeviser Thunder Terminal og kræver løsepenge
Hackeren hævdede imidlertid det modsatte og beskyldte platformens sikkerhedsudsagn. “Alt løgn,” sagde udnytteren. ”Vi har også alle brugerdata. 50 ETH, og vi sletter dataene.”
Nogle brugere har givet udtryk for deres bekymring ved at svare på Thunder Terminals indlæg og stille spørgsmålet “hvordan kom de 114 tegnebøger i fare, hvis deres private nøgler var sikre?” En anden svarede: “Midlerne er sikre i en andens tegnebog.”
I mellemtiden sagde platformen: ”Vi er villige til at forhandle med den, der udnyttede, hvis de returnerer brugernes midler. Ellers agter vi at forfølge denne forbrydelse til fulde i det amerikanske retssystem.”