Биржу Exmo обвинили в хищении средств у собственных пользователей. Что случилось с биржей exmo
Пользователи биржи Exmo жалуются на кражу средств
Материал о трех случаях пропажи средств со счетов на бирже Exmo прислал один из наших читателей. Ниже публикуем обстоятельства незаконного вывода средств и комментарии представителей биржи.
Биржа Exmo основана разработчиками из СНГ, сейчас над развитием проекта работает интернациональная команда из Испании, России, Индии и Таиланда. Штаб-квартира находится в Великобритании, также есть представительство в Барселоне.
Популярность биржи связана с возможностью вывода фиатных средств (USD и EUR) непосредственно на банковскую карту. Однако такая функция доступна только верифицированным аккаунтам. Процедура верификации достаточно трудоемкая и требует предоставления паспортных данных, информации о месте регистрации, подписания соглашения, а также селфи-фото с документом на фоне персонального аккаунта в EXMO. Верификация аккаунта может занять больше месяца.
Кроме этого, любой вывод средств с биржи требует подтверждения по e-mail, либо с помощью двухфакторной аутентификации по смс или по TOTP (Google Authenticator). Практически выглядит это так: после того как вы в личном кабинете запросили вывод средств, на почту приходит сообщение с ссылкой, перейдя по которой вы подтверждаете операцию. Затем запрос на вывод средств идет на проверку.
Со слов представителей биржи на одном из форумов, проверка вывода средств может занимать до 72 часов. На практике процедура действительно занимает достаточно много времени, что зачастую приводит к потерям из-за изменения курса.
Ниже показан пример: на этот адрес неоднократно выводились деньги с российского ip-адреса. Но все равно проверка заняла 16 часов.
Есть еще один способ вывести средства без подтверждения — через API. Данный метод включается вручную по запросу в техподдержку.
Также стоит уточнить, что при смене пароля и типа защиты включается блокировка вывода средств на два дня.
В каждой истории вывод средств производился в достаточно короткие сроки и был запрошен через прокси, хотя ни один из пользователей не включал подобную функцию. Во всех трех историях пользователи осуществляли вход на биржу только с российских IP-адресов, а злоумышленники запрашивали вывод средств с зарубежных адресов. Имена всех героев изменены.
Первый пользователь, назовем его Алексом, использует почту Gmail, где у него включена двухфакторная аутентификация, для входа на биржу двухфакторная аутентификация не была установлена. Алекс — программист, работает на Windows, технически грамотный человек. Использует Chrome, непроверенных плагинов не устанавливает, задействует разные пароли для сервисов.
Хронология событий:
— 26 января в 7:48 аккаунт Алекса проходит верификацию,
— 28 января в 18:24 злоумышленник заходит в аккаунт из Люксембурга,
— 28 января в 18:38 злоумышленник покупает криптовалюту в паре DOGE/BTC,
— 28 января в 18:41 злоумышленник выводит криптовалюту DOGE с аккаунта.
Обратите внимание, что в 18:41 был одобрен вывод, а не создана заявка.
Никакое сообщение на почту Алексу не приходило, ни по каким ссылкам для подтверждения вывода средств он не переходил.
В результате $1800 в Doge было выведено за 3 минуты с момента покупки валюты. Почему-то проверка вывода в этот раз сработала оперативно, и службу безопасности не смутило, что пользователь зашел из Люксембурга и решил вывести валюту в первый раз на данный адрес.
Еще один пользователь по имени Боб также завел деньги на биржу, покупал и продавал монеты, иногда выводил прибыль на электронные кошельки. У Боба на сайте Exmo была включена двухфакторная аутентификация по смс. По каким-то причинам Боб не мог войти в свой аккаунт более 30 дней, в том числе и в момент, когда был произведен незаконный вывод средств. Техподдержка отвечала на сообщения медленно и неохотно.
Хронология событий:
— 30 декабря в 9:22 злоумышленник заходит на биржу из Амстердама. Боб не был онлайн с 27 декабря, 30 декабря смс о подтверждении входа на биржу ему не приходила,
— 30 декабря в 9:23 злоумышленник меняет валюту в паре WAVES/BTC,
— 30 декабря в 9:26 злоумышленник выключает аутентификацию по смс и включает TOTP (Google Authenticator). Здесь же видно, что злоумышленник запрашивал восстановление пароля в 9:22 и за минуту вошел в аккаунт,
— 2 января в 9:29 злоумышленник получает деньги. Ровно через 2 дня после смены способа защиты. То есть проверку опять удалось удачно пройти, несмотря на нетипичный IP-адрес, новый адрес вывода, а также смену способа защиты и пароля.
В итоге со счета было выведено около $300. Боб смог зайти в аккаунт только в феврале.
Третью пострадавшую зовут Виктория, она давно занимается торговлей и обменом криптовалюты и имеет достаточно хорошую репутацию на сервисе LocalBitcoin.
Виктория использует Mac OS X, следит за безопасностью, никаких плагинов не ставит, пользуется почтой Mail.ru, на которой включена аутентификация по смс. Однако пароль от Exmo и от почты Mail.ru у Виктории был одинаковый.
В результате злоумышленнику удалось отключить двухфакторную аутентификацию на почте Mail.ru, каким-то образом получив паспортные данные Виктории и предоставив их службе поддержки. Это подтвердила техподержка Mail.ru.
В этом случае средства были выведены не только с биржи Exmo, а также с кошелька LocalBitcoin и биржи Yobit.
Хронология событий:
— 4 февраля в 12:07 злоумышленник входит в аккаунт биржи Exmo,
— 7 февраля в 18:33 злоумышленнику удалось войти на почту Mail.ru после отключения верификации,
— 7 февраля в 18:42 (15:42) злоумышленник проводит торги, переводя все средства в BTC,
— 7 февраля в 19:13 (16:13) злоумышленник полностью выводит все BTC с аккаунта биржи Exmo.
В итоге, вывод BTC подтвердили за 30 минут. Общая сумма, выведенная со всех сервисов, составила $35,000.
Если включить двухфакторную аутентификацию, выйти из аккаунта и запросить восстановление пароля, то можно получить новый пароль в открытом виде на почте.
При этом старый пароль все еще работает.
В связи с этим возникает несколько вопросов:
Возможно ли, что Exmo хранит пароли в открытом виде?
Может ли кто-нибудь из сотрудников перехватывать письма, отправленные в адрес пользователей, и выводить средства со счетов?
Обращение потерпевших в техподдрежку биржи Exmo не помогло решить ситуацию (1, 2) . Сотрудники биржи отвечают раз в несколько дней, и их ответы не отличаются разнообразием.
Также в адрес биржи был сделан запрос от имени редакции. Но ее представители не ответили на вопросы о том, случались ли подобные ситуации ранее, могут ли сотрудники незаконно выводить средства пользователей, и будут ли в ближайшее время предприняты какие-то меры для повышения надежности биржи. PR-менеджер Exmo пообещал разобраться в ситуации, но на повторное письмо через несколько дней никто не ответил.
Мы надеемся привлечь внимание администрации Exmo к данной проблеме, а почтовый сервис Mail.ru призываем пересмотреть свои инструкции по безопасности при отключении двухфакторной аутентификации.
Источник: crypto.by
Высказать свое мнение или задать вопрос по данной статье можно в общем чате. Так же заходите в чат посвященный Dex (Децентрализованным биржам). Для удобства вы можете подписаться на наши новости в Telegramprocrypto.network
Биржу Exmo обвинили в хищении средств у собственных пользователей | Altcoin
Несколько дней назад популярному новостному изданию пришло письмо от читателя, в котором тот обвинил криптовалютную биржу Exmo в воровстве. Читатель привел, по его собственному мнению, неопровержимые доказательства столь недостойного поведения сотрудников биржи. Давайте внимательно изучим материал о трех случаях пропажи средств и сделаем собственные выводы.
Введение
Популярность биржи Exmo связана с возможностью вывода фиатных средств (USD и EUR) непосредственно на банковскую карту. Однако такая функция доступна только верифицированным аккаунтам. Процедура верификации требует предоставления паспортных данных, информации о месте регистрации, подписания соглашения, а также вашего фото с документом на фоне персонального аккаунта в EXMO. Верификация аккаунта может занять больше месяца.
Кроме этого, любой вывод средств с биржи требует подтверждения с помощью e-mail, либо с помощью двухфакторной аутентификации по смс или по TOTP (Google Authenticator). На пактике выглядит это так: после того как вы в личном кабинете запросили вывод средств, на почту приходит сообщение с ссылкой, перейдя по которой вы подтверждаете операцию. Затем запрос на вывод средств идет на проверку.
Со слов представителей биржи проверка вывода средств может занимать до 72 часов. Процедура действительно занимает много времени, что зачастую приводит к потерям из-за изменения курса.
Ниже приведен пример: на этот адрес неоднократно выводились деньги с российского ip-адреса. Но все равно проверка заняла 16 часов.
Есть еще один способ вывести средства без подтверждения — через API. Данный метод включается вручную по запросу в техподдержку. Также стоит уточнить, что при смене пароля и типа защиты включается блокировка вывода средств на два дня.
Что общего у трех случаев пропажи средств
В каждой истории вывод средств производился в достаточно короткие сроки и был запрошен через прокси, хотя ни один из пользователей не включал подобную функцию. Во всех трех историях пользователи осуществляли вход на биржу только с российских IP-адресов, а злоумышленники запрашивали вывод средств с зарубежных адресов. Имена всех героев изменены.
Первая история
Первый пользователь, назовем его Алексом, использует почту Gmail, где у него включена двухфакторная аутентификация, для входа на биржу двухфакторная аутентификация не была установлена. Алекс — программист, работает на Windows, технически грамотный человек. Использует Chrome, непроверенных плагинов не устанавливает, задействует разные пароли для сервисов.
Хронология событий:
— 26 января в 7:48 аккаунт Алекса проходит верификацию
— 28 января в 18:24 злоумышленник заходит в аккаунт из Люксембурга
— 28 января в 18:38 злоумышленник покупает криптовалюту в паре DOGE/BTC
— 28 января в 18:41 злоумышленник выводит криптовалюту DOGE с аккаунта
Обратите внимание, что в 18:41 был одобрен вывод, а не создана заявка. Никакое сообщение на почту Алексу не приходило, ни по каким ссылкам для подтверждения вывода средств он не переходил.
Представители биржи утверждают, что письмо с ссылкой на подтверждение вывода средств (ниже) было отправлено пользователю
В результате за минуты вывели Doge на сумму $1800. Почему-то проверка вывода в этот раз сработала оперативно, и службу безопасности не смутило, что пользователь зашел из Люксембурга и впервые решил вывести валютуна данный адрес.
Вторая история
Еще один пользователь по имени Боб также завел деньги на биржу, покупал и продавал монеты, иногда выводил прибыль на электронные кошельки. У Боба на сайте Exmo была включена двухфакторная аутентификация по смс. По каким-то причинам Боб не мог войти в свой аккаунт более 30 дней, в том числе и в момент, когда был произведен незаконный вывод средств. Техподдержка отвечала на сообщения медленно и неохотно.
Хронология событий:
— 30 декабря в 9:22 злоумышленник заходит на биржу из Амстердама. Боб не был онлайн с 27 декабря, 30 декабря смс о подтверждении входа на биржу ему не приходила
— 30 декабря в 9:23 злоумышленник меняет валюту в паре WAVES/BTC
— 30 декабря в 9:26 злоумышленник выключает аутентификацию по смс и включает TOTP (Google Authenticator). Здесь же видно, что злоумышленник запрашивал восстановление пароля в 9:22 и за минуту вошел в аккаунт
— 2 января в 9:29 злоумышленник получает деньги. Ровно через 2 дня после смены способа защиты. То есть проверку опять удалось удачно пройти, несмотря на нетипичный IP-адрес, новый адрес вывода, а также смену способа защиты и пароля
В итоге со счета было выведено около $300. Боб смог зайти в аккаунт только в феврале.
Представители биржи опровергают наличие настроенной двухфакторной аутентификации по смс: «У пользователя НЕ был настроен СМС-вход (2FA) , по самой верхней строчке видно что пользователь указал телефон на который ему был выслан код для настройки смс-входа, но код не был введен и следовательно настройка НЕ была завершена».
Третья история
Третью пострадавшую зовут Виктория, она давно занимается торговлей и обменом криптовалюты и имеет достаточно хорошую репутацию на сервисе LocalBitcoin. Виктория использует Mac OS X, следит за безопасностью, никаких плагинов не ставит, пользуется почтой Mail.ru, на которой включена аутентификация по смс. Однако пароль от Exmo и от почты Mail.ru у Виктории был одинаковый.
В результате злоумышленнику удалось отключить двухфакторную аутентификацию на почте Mail.ru, каким-то образом получив паспортные данные Виктории и предоставив их службе поддержки
В этом случае средства были выведены не только с биржи Exmo, а также с кошелька LocalBitcoin и биржи Yobit.
Хронология событий:
— 4 февраля в 12:07 злоумышленник входит в аккаунт биржи Exmo
— 7 февраля в 18:33 злоумышленнику удалось войти на почту Mail.ru после отключения верификации
— 7 февраля в 18:42 (15:42) злоумышленник проводит торги, переводя все средства в BTC
— 7 февраля в 19:13 (16:13) злоумышленник полностью выводит все BTC с аккаунта биржи Exmo
В итоге, вывод BTC подтвердили за 30 минут. Общая сумма, выведенная со всех сервисов, составила $35,000.
Комментарий представителя Exmo: «Так как пароли были одинаковые, то был получен доступ к аккаунту, где пользователь загружал данные на верификацию (картинку скачать злоумышленник не мог, но знал данные пользователя: дату рождения, номер паспорта и мог найти данные в базе банков), учитывая, что пароли совпадают на почте и сайте EXMO, вероятнее всего, что они совпадают и на других сервисах откуда могли получить личные данные пользователя».
Информация к размышлению. Как работает сброс пароля
Если включить двухфакторную аутентификацию, выйти из аккаунта и запросить восстановление пароля, то можно получить новый пароль в открытом виде на почте.
При этом старый пароль все еще работает.
В связи с этим возникает несколько вопросов:
- Возможно ли, что Exmo хранит пароли в открытом виде?
- Может ли кто-нибудь из сотрудников перехватывать письма, отправленные в адрес пользователей, и выводить средства со счетов?
Официальный ответ биржи Exmo
— Как часто у вас происходят подобные мошеннические случаи вывода средств?
Действительно, такие случаи встречаются, однако крайне редко и связаны исключительно с тем, что пользователи не соблюдают рекомендации и правила по обеспечению безопасности своих аккаунтов на платформе.
— Будут ли предприняты какие-то дополнительные меры для повышения надежности биржи?
Платформа постоянно работает над повышением безопасности аккаунтов и предоставляет весь доступный спектр современных инструментов для защиты. Также со стороны EXMO происходит регулярное информирование пользователей о необходимости защиты аккаунтов и доступных инструментах безопасности. При этом, каждый пользователь несет персональную ответственность за сохранность своих личных средств на биржевом счете.
— Рассматриваете ли вы версию, что сотрудники биржи могут незаконно выводить средства пользователей?
Подобные сценарии исключены, поскольку работа департаментов децентрализована таким образом, чтобы сотрудники имели доступ только ограниченному количеству информации необходимому для решения операционных задач. Ни один из сотрудников EXMO не обладает достаточным количеством доступов, чтобы совершить мошеннические действия.
altcoin.info
Криптобиржа как источник проблем: с чем приходится сталкиваться пользователям
В последнее время издание ForkLog получает большое количество жалоб на работу криптовалютных бирж, как отечественных, так и зарубежных. Часто люди сами отправляют средства не на тот адрес, иногда биржевая инфраструктура дает сбой, но в большинстве случаев все эти проблемы упираются в сверхмедленную работу службы поддержки. В связи с многочисленными просьбами ForkLog решил рассказать об актуальных проблемах, с которыми сталкиваются пользователи.
А в ответ тишина…
По словам одного из активистов, координирующего деятельность Telegram-канала bittrexVerifTmp, на протяжении последнего месяца многие пользователи биржи Bittrex испытывают проблему с верификацией личности для вывода средств.
How Bittrex discredits the whole Crypto World:https://t.co/CFEjoqxdor #BittrexTrouble #bittrex_disabled_accounts #bitcoin #BTC #cryptocurrency #биткоин
— Hash World (@myhashworld) 27 ноября 2017 г.
Проблема состоит в том, что они не могут выводить средства до 0,4 BTC/день за пределы торговой площадки, пока не пройдут хотя бы базовую верификацию, указав полное имя, дату рождения и место проживания. Для крупных игроков рынка предусмотрена процедура «продвинутой верификации», позволяющая выводить вплоть до 100 BTC в день.
Как утверждает собеседник ForkLog, помогающий людям, которых затронула данная проблема, сотни пользователей (только в его Telegram-канале — 958 человек) не могут пройти базовую верификацию. Причиной является то, что провайдеры публичных данных Bittrex не идентифицируют предоставленную личную информацию.
В этом случае пользователю предлагается продвинутая верификация, которую можно успешно пройти при обязательном соблюдении следующих условий:
- Имя в базовой верификации должно было быть указано латиницей, даже в том случае, если пользователь ее не прошел.
- Скан документа, подтверждающего личность, не должен быть обрезан.
- На селфи должен быть тот же документ, откуда списаны имя/фамилия, а также отчетливо видны ФИО/подпись.
В противном случае пользователь видит ошибку «Name Mismatch», после чего многим не удается повторить процедуру, и они вынуждены обращаться в службу поддержки.
Более того, даже если некоторым пользователям удавалось пройти продвинутую верификацию, они обнаруживали, что их аккаунты деактивированы, что лишало их возможности не только выводить деньги, но и торговать на Bittrex.
Служба поддержки игнорирует сотни открытых тикетов уже неделями, а людей, которые пытались поднять тему в официальном Slack-канале, забанили. Согласно новым правилам Bittrex, теперь получить доступ к Slack-каналу биржи могут только пользователи, прошедшие продвинутую верификацию, хотя фактически новые юзеры не могут зарегистрироваться в Slack примерно с 15 октября. Кроме того, администраторы Twitter-страницы Bittrex также внесли собеседника ForkLog в черный список, вероятно, в связи с его активной деятельностью.
Стоит отметить, что одновременно с этим многие довольно просто проходят и базовую, и продвинутую верификацию, что усложняет определение природы проблемы. Но учитывая активное обсуждение на форумах и других площадках, масштаб проблемы может быть намного больше, чем несколько сотен нерешенных тикетов. Как утверждает координатор группы, он начинал работать с тикетом под номером 284 428 в середине октября, а на данный момент в группу сыпятся запросы уже под номерами 500 000+.
Биржа Bittrex пообещала расширить штат сотрудников службы поддержки, но пока что решение проблемы не сдвинулось с места.
Возвращение блудного платежа
В среду, 4 октября, пользователь Воробьев А. осуществил вывод средств со счетов на криптовалютной бирже EXMO на свой банковский счет в “Рокетбанке”. Согласно базовым условиям, SWIFT-платеж на сумму $12 150 должен был зачислиться в течении трех дней. О халатности сотрудников биржи EXMO и других подробностях запутанной ситуации ForkLog рассказал сам Воробьев А.
Для осуществления выводов пользовательских средств криптовалютная биржа EXMO пользуется услугами нескольких провайдеров-партнеров. В данном контексте посредником между пользователем и биржей выступила компания CryptoCapital.
В среду, 11 октября, служба поддержки уведомила Воробьева А. о задержке отправки средств со стороны CryptoCapital, но пообещала, что деньги дойдут в течение трех рабочих дней. Как уже можно догадаться, этого не произошло.
С 17 октября по 2 ноября все попытки получить ответ от службы поддержки не увенчались успехом, поскольку сообщения от пользователя игнорировались. Более того, биржа предприняла несколько попыток, в том числе и публичных, обвинить пользователя в возникновении данной ситуации.
Несмотря на то что Воробьев А. сам не выбирал провайдера-партнера [из списка, предоставленного биржей был выбран пункт wire transfer, о том что провайдером сделки будет CryptoCapital Воробьев А. узнал уже потом], он, по мнению представителей EXMO, также должен был выяснить, обрабатывает ли CryptoCapital платежи на такие крупные суммы. Тем не менее еще 17 октября сами же сотрудники EXMO написали, что выплата успешно завершена, ничего не сказав о каких-либо проблемах с суммой платежа или реквизитами.
Вторую попытку представители биржи предприняли недавно, обвинив Воробьева А. в том, что он некорректно указал SWIFT-реквизиты «Рокетбанка». Можно было бы предположить, что вот же оно — долгожданное объяснение, однако «Рокетбанк» работает по лицензии банка «Открытие», чьи SWIFT-реквизиты указали сотрудники EXMO, как «правильные».
Несмотря на то что финансовые учреждения используют разные коды SWIFT, оба они были актуальны, что делает обвинения EXMO беспочвенными. Банк «Открытие» подтвердил актуальность реквизитов, которые предоставил Воробьев.
Поскольку обвинить пользователя в предоставлении неверных реквизитов не получилось, представители биржи вернули деньги на аккаунт Воробьева.А.
Стоит отметить, что средства пользователю вернули 21 ноября, на 48-й день после запроса, хотя представители EXMO гарантировали в случае ошибки в реквизитах возврат платежа в течение 30 дней.
Как рассказал Воробьев А., возврат пришел с компенсацией $100, что он воспринял, как оскорбление. Оперируя запрошенной суммой в рамках своего бизнеса Воробьев А. смог бы заработать порядка 7-10% за месяц.
Кроме того, это не первая жалоба на работу биржи EXMO, хотя сотрудники организации назвали случай Воробьева А. «исключительным».
Заключение
Сообщество криптовалютного мира довольно сплоченное, и как только случается непредвиденная ситуация, люди часто объединяются для ее решения. Даже крупные организации, которые позволяют себе игнорировать отдельных пользователей, рано или поздно отступят под натиском сообщества, движимого общей идеей.
Подписывайтесь на новости ForkLog в Facebook!
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER
forklog.com
