Muévase rápido, rompa cosas, sea pirateado.
Eso es lo que sucedió en Roll, la plataforma de moneda social que permite a los creadores acuñar y distribuir su propia criptomoneda basada en Ethereum conocida como tokens sociales. La semana pasada, Roll reveló que un pirata informático había robado $ 5.7 millones de su billetera caliente, poco más de un año después del lanzamiento de la compañía.
Roll estableció un fondo de $ 500,000 para ayudar a los creadores a recuperar sus pérdidas, y la compañía prometió contratar a un tercero para auditar su infraestructura de seguridad.
Pero la compañía hasta ahora no ha podido contratar a los investigadores de seguridad para investigar la violación, dejando que la startup busque pistas por sí misma. Ha pasado una semana desde la violación, y la startup de la moneda social dice que todavía no sabe cómo el hacker entró o robó sus claves privadas.
En una llamada con TechCrunch esta semana, los ejecutivos de Roll confirmaron que su infraestructura nunca se sometió a una auditoría de seguridad, un proceso diseñado para ayudar a encontrar y corregir vulnerabilidades, antes de su lanzamiento.
“No estábamos preparados desde el punto de vista de la seguridad”, dijo Bradley Miles, director ejecutivo de Roll.
“Este incidente fue un gran revés para nosotros, renovaremos una gran cantidad de infraestructura en torno a esto que tenemos para evitar que algo como esto vuelva a suceder”, dijo el director de tecnología de Roll, Sid Kalla, quien supervisa la ciberseguridad porque la empresa no lo hace. tener personal dedicado.
Los ejecutivos dijeron que si bien sus contratos inteligentes, la tecnología que sustenta la cadena de bloques, fueron auditados por una empresa externa, el resto de la infraestructura de la compañía nunca se sometió a pruebas de estrés.
“Eso fue una deficiencia de nuestra parte, y deberíamos haberlo hecho antes”, dijo Kalla.
El vaciado de la billetera caliente de Roll se produce cuando la moneda social sube a nuevos niveles de popularidad. Roll ha contado con creadores de alto perfil como el actor Terry Crews, junto con cientos de otras monedas sociales en la plataforma, muchas de las cuales cayeron en picado después de que la billetera caliente fue pirateada.
Algunas de las monedas sociales más importantes, como $ WHALE, se recuperaron bastante rapido después de la ruptura de la billetera caliente de Roll. Un mes antes, $ WHALE “retiró por casualidad” una gran cantidad de su suministro a sus billeteras frías, que no están conectadas a Internet, en previsión de distribuciones comunitarias. Las monedas sociales que tenían medidas implementadas demostraron cierta resistencia contra el hack.
Después de que la compañía se dio cuenta de que se vació su billetera caliente, la compañía pasó los primeros dos días siguiendo el rastro del dinero. Miles dijo que la compañía se comprometió con la compañía forense de cadenas de bloques Chainalysis en busca de ayuda. La compañía dijo que estaba mirando sus registros, pero dice que no han visto ningún inicio de sesión anómalo. Roll usa la nube de Amazon para su infraestructura, y solo un puñado de empleados tiene acceso a las claves privadas, y sus cuentas están protegidas con códigos de autenticación basados en aplicaciones, dijo Kalla.
“Somos una empresa joven, estamos creciendo extraordinariamente rápido”, dijo Miles, quien admitió que la respuesta de la empresa “podría haber sido mejor”.
“No existe un escenario en el que se pueda perder esa cantidad de dinero y no obtener una respuesta a incidentes”, dijo Jake Williams, fundador de la firma de ciberseguridad Rendition Infosec. “La idea de que intentaría hacer una respuesta a incidentes de bricolaje, especialmente si no es su capacidad principal, es simplemente ridícula”.
“Para reconstruir la confianza, la empresa tiene que aclarar dónde estaban las fallas”, dijo Williams, un ex pirata informático de la NSA que se convirtió en respondedor de incidentes.
Roll está reconstruyendo su infraestructura, pero no dio un cronograma de cuándo se completará el trabajo. La compañía dijo que no permitirá que los usuarios realicen retiros hasta que esté seguro de que su infraestructura es segura. La empresa dice que contratará a una empresa de seguridad para que audite los cambios en su infraestructura. Roll también dijo que reducirá la cantidad de tokens que tiene en su billetera caliente.
Miles dijo que el fondo de ayuda de la compañía para los creadores se elevó a $ 750,000, que dijo que irá directamente a las comunidades afectadas. La compañía también planea contratar a un director de seguridad de la información dedicado cuando se cierre su próxima ronda de financiamiento.