Um cliente da Gate.io reportou no dia 8 uma retirada não autorizada de 1,7 milhão de dólares (aproximadamente 2,6 mil milhões de won) em ativos de criptomoeda. O influenciador da X, ‘jheioff’, afirmou que, apesar de ter autenticação por telefone, autenticação Google e autenticação por e-mail ativadas na conta verificada com nome real, todos os ativos foram retirados sem que fosse recebido no telemóvel qualquer código de verificação por SMS. O incidente seguiu-se a um e-mail de reposição de palavra-passe no dia 4 e a uma notificação de alteração de e-mail da conta no dia 5, levantando preocupações sobre os protocolos de segurança da bolsa e sobre a forma como a resposta inicial foi conduzida.
O influenciador da X ‘jheioff’ revelou no dia 8 que a conta da Gate.io foi comprometida e que todos os ativos no valor de 1,7 milhão de dólares (aproximadamente 2,6 mil milhões de won) foram retirados. O cliente explicou que a conta tinha verificação com nome real, com autenticação por telefone, autenticação Google e autenticação por e-mail devidamente configuradas, e que não recebeu no telemóvel quaisquer códigos de verificação por SMS. O cliente afirmou ainda que não foram fornecidos quaisquer vídeos nem fotografias do documento de identificação a ninguém.
De acordo com a conta do cliente, uma verificação por e-mail para reposição da palavra-passe de início de sessão chegou no dia 4, seguida de uma notificação de alteração do e-mail da conta no dia 5, após o que ocorreu a retirada de fundos. O cliente exigiu que a Gate.io identificasse a pessoa que apresentou esses materiais e que tomasse medidas de compensação.
A Gate.io afirmou no dia 8 que “este caso está a ser investigado com urgência e parece tratar-se de um caso individual, sem vulnerabilidades de segurança no sistema”. Ainda assim, surgiram críticas à resposta inicial, uma vez que o roubo de ativos foi confirmado e levantou preocupações sobre a confiança.
À medida que a polémica se intensificou, a Gate.io emitiu um pedido de desculpas no dia 11. A bolsa afirmou: “A nossa atitude não foi adequada no processo de comunicação externa inicial e não demos prioridade às emoções dos utilizadores.” A Gate.io acrescentou: “Embora não tenham sido identificados riscos de segurança da plataforma na investigação inicial, as perdas e a ansiedade sentidas pelos utilizadores claramente existem.”
A Gate.io apontou três razões para a comunicação inicial inadequada: o grau de integralidade e exatidão da informação detida pelo requerente para alterações nas definições de segurança era invulgarmente elevado; foram enviados e-mails e mensagens de texto para o cliente quando foram solicitadas alterações nas definições de segurança; e o endereço IP estava na mesma região dos endereços de acesso recentes. A bolsa explicou que está a acompanhar o percurso dos fundos expostos, apoiando pedidos de bloqueio e participações à polícia, e perseguindo os fundos. A Gate.io acrescentou: “Embora exista incerteza, envidaremos esforços para recuperar os fundos dos utilizadores enquanto houver até a mais ligeira possibilidade.”
Que medidas de segurança tinha ativadas o cliente da Gate.io antes da retirada não autorizada?
O cliente tinha autenticação por telefone, autenticação Google e autenticação por e-mail todas configuradas numa conta verificada com nome real.
O que é que a Gate.io disse no seu pedido de desculpas de 11?
A Gate.io reconheceu que a sua atitude não foi adequada no processo de comunicação externa inicial e afirmou que não deu prioridade às emoções dos utilizadores, enquanto confirmava que as perdas e a ansiedade sentidas pelos utilizadores claramente existem, apesar de não terem sido identificados riscos de segurança da plataforma na investigação inicial.
Notícias relacionadas