Cosa Fare Dopo il Primo Attacco Informatico – Per Evitare un Secondo

Phemex condivide le lezioni apprese dalla sua incursione senza precedenti.

Anche i leader di pensiero sono soggetti ai rischi legati alla conduzione di un'attività online. Phemex, uno scambio ibrido che integra processi d'eccellenza sia delle piattaforme centralizzate sia di quelle decentralizzate, è stato vittima di un attacco da parte di un serio attore minaccioso alla fine di gennaio.

Piuttosto che sottrarsi a questo evento indesiderato, il team di Phemex ha deciso di essere schietto e trasparente al riguardo – e forse questa è la lezione più importante che ne possono trarre.

«Vogliamo utilizzare questo intervento per affrontare l’incidente, parlare di come lo abbiamo gestito e spiegare cosa abbiamo fatto per prevenire simili eventi in futuro», afferma Federico Variola, CEO di Phemex.

Ha sottolineato che, sebbene l’attacco sia stato effettuato da un attore minaccioso altamente sofisticato, la stragrande maggioranza dei fondi degli utenti non è mai stata a rischio e l’exchange ha coperto tutte le perdite degli utenti.

“Abbiamo inoltre ripreso le operazioni core nel più breve tempo possibile e abbiamo immediatamente rinnovato la nostra infrastruttura di sicurezza del wallet hot per ridurre significativamente questi rischi di sicurezza in futuro,” ha proseguito.

Attacco e difesa

L'attaccante ha una storia di attacchi informatici nel settore crypto ed è considerato estremamente sofisticato, quindi la natura dell'attacco informatico è stata complessa e difficile da prevenire. Questi autori non sono stati identificati pubblicamente dalle forze dell'ordine, ma probabilmente risiedono in uno stato che sostiene questo tipo di azione e sono probabilmente immuni da qualsiasi procedimento penale o altra azione legale.

Recentemente l’hack di Bybit sembra essere collegato allo stesso gruppo, secondo Variola, ma gli incidenti differiscono.

“Nel nostro caso, è stato preso di mira un hot wallet,” ha dichiarato. “Nel caso di Bybit, invece, il loro cold wallet principale di ETH.”

Phemex utilizza sistemi separati di hot wallet e cold wallet al fine di minimizzare il rischio di perdita durante i “casi limite” – un termine della cybersicurezza che indica un problema o una situazione che si verifica ai limiti estremi di ciò che è normale o previsto.

“Sono stati rubati solo i fondi dal nostro hot wallet, ed è proprio per questa ragione che disponiamo di wallet separati hot e cold, per minimizzare le perdite,” ha affermato Variola. “Ciò che è accaduto è indubbiamente un evento negativo, ma rientra nei limiti di ciò che è accettabile che il nostro exchange possa gestire.”

L'attacco è stato perpetrato tramite ingegneria sociale, prendendo di mira i dipendenti di Phemex tramite Telegram. A rapporto completo sull'incidente appare su Medium.

Le stime indicano che il valore totale dei fondi rubati per 85 milioni di dollari, quindi la trasparenza e l'affidabilità nei confronti degli utenti sono state tra le massime priorità di Phemex durante l'attacco.

“Abbiamo immediatamente informato gli utenti,” continua Variola, “e abbiamo potuto assicurare loro che i fondi erano al sicuro, incoraggiandoli a verificarlo personalmente utilizzando il nostro sistema di autocertificazione "Strumento di Prova delle Riserve basato su Merkle Tree.”

Una volta che Phemex ha contenuto e valutato i danni, il passo successivo è stato minimizzare il danno. Alcuni fondi sono già stati recuperati. I fondi rubati comparsi su altre piattaforme di scambio sono stati immediatamente congelati.

«Il recupero dei fondi è attualmente ancora in corso e siamo fiduciosi di poter recuperare una quantità significativa di beni rubati», afferma Variola. Tuttavia, «abbiamo ancora risorse per operare a pieno rendimento.»

Nel frattempo, Phemex sta collaborando con le autorità di polizia, società di cybersicurezza e altre piattaforme crypto nel processo di recupero. L’exchange è riuscito a ripristinare le funzionalità principali agli utenti entro 24 ore – probabilmente uno dei recuperi più rapidi da un attacco hacker da parte di un exchange crypto consolidato. Successivamente, Phemex ha implementato una revisione rigorosa e manuale delle transazioni di deposito e prelievo per rafforzare la sicurezza e garantire che non venissero effettuate transazioni dannose nell’immediato periodo successivo.

Lezioni apprese, azioni intraprese

Immediatamente dopo la violazione, il team tecnico di Phemex ha progettato e implementato una nuova infrastruttura di sicurezza per hot-wallet più robusta.

“Una lezione importante che abbiamo imparato e su cui abbiamo riflettuto è che Phemex è cresciuta molto rapidamente durante l'ultimo mercato toro e alcune delle nostre procedure operative sono rimaste indietro rispetto alla nostra crescita,” afferma Variola. “Questo attacco informatico ha dimostrato che il tipo di misure di sicurezza che potevano essere adeguate per la nostra dimensione precedente non sono più accettabili per la nostra attuale scala.”

La nuova struttura di Phemex è progettata con un'architettura zero-trust e sfrutta la tecnologia all'avanguardia Enclave. Questo include AWS Nitro per ottenere una sicurezza robusta a livello di chip per i portafogli hot.

Sebbene ciò risolva il problema immediato, non metterebbe Phemex in vantaggio rispetto agli hacker. Pertanto, il team ha adottato misure per proteggere tutti i portafogli che qualsiasi utente potrebbe detenere.

«Abbiamo in programma di utilizzare un sistema di portafogli a livelli con portafogli freddi», afferma Variola. «Si applicherà anche ai portafogli caldi, che conterranno una proporzione molto più ridotta dei nostri fondi d’ora in avanti.»

Il sistema a livelli si applica anche a portafogli caldi, che combinano la connessione internet, la velocità e l'efficienza dei hot wallet con la sicurezza avanzata e il controllo manuale dei cold wallet.

Phemex sta inoltre aumentando il personale dedicato alla sicurezza dell'infrastruttura, con diversi team che supervisionano elementi separati e un numero ridotto di individui con accesso all'intero sistema. Da un capo all'altro, promette Variola, ogni attività sarà revisionata da terze parti leader del settore.

Ciò potrebbe rallentare il ritmo di erogazione del servizio di Phemex di un passo, ma il team di Variola è convinto che debba essere fatto.

“Le operazioni del nostro exchange saranno più complesse con il nuovo sistema, ma ciò non può essere evitato perché la sicurezza è la massima priorità,” afferma Variola. “Abbiamo estrema fiducia nel nuovo sistema e stiamo richiedendo certificazioni di terze parti su questi standard di sicurezza.”