Enligt en undersökning av Bloomberg drabbades Crypto.com, en av världens största kryptovalutabörser, av ett säkerhetsintrång som de aldrig avslöjade.
Rapporten kopplade händelsen till Scattered Spider, en hackargrupp som ofta riktar sig mot företag med sociala ingenjörstaktiker. Gruppen består främst av tonåringar som specialiserar sig på att lura anställda att lämna ut sina inloggningsuppgifter.
Crypto.com möter kritik för påstådd mörkläggning av säkerhetsbrist
Enligt Bloomberg låtsades angriparna vara IT-personal och övertalade oidentifierade Crypto.com-anställda att lämna ut inloggningsuppgifter. När de väl var inne försökte de få mer tillgång genom att rikta sig mot högre personalens konton.
Crypto.com berättade för Bloomberg att attacken endast påverkade “ett mycket litet antal individer” och betonade att kundernas pengar förblev orörda.
Företaget har ännu inte gett ytterligare information om händelsen vid pressens tidpunkt.
Säkerhetsexperter menar att börsens beslut att inte avslöja intrånget undergräver förtroendet för deras säkerhetspraxis.
De hävdar att bristen på information om händelsen lämnar användarna osäkra på omfattningen av exponeringen och sårbara för möjliga följdattacker.
Denna oro är betydande eftersom Coinbase tidigare drabbades av ett liknande intrång som utsatte deras kunder för mer än 300 miljoner USD i årliga förluster.
On-chain-utredaren ZachXBT anklagade Crypto.com för att medvetet dölja intrånget. Han betonade också att detta inte var första gången plattformen kopplats till ouppklarade säkerhetsbrister.
Hans kommentarer speglar en bredare frustration i branschen över börser som tyst bagatelliserar intrång för att skydda sitt rykte.
Samtidigt har händelsen också återupplivat kritik mot branschens beroende av Know Your Customer (KYC)-system.
Pseudonym säkerhetsforskare Pcaversaccio reagerade skarpt på problemen och hävdade att KYC-krav skapar massiva datagömmor för hackare.
“Du kan enkelt byta lösenord, men _inte_ ditt pass och de vet det mycket väl. Vi är i princip säkerheten i deras övervakningssystem,” sade forskaren.
Denna oro stämmer överens med en bredare skepsis i branschen mot regleringsramar.
Tidigare i år kritiserade Coinbase VD Brian Armstrong Bank Secrecy Act och befintliga regler mot penningtvätt som föråldrade och ineffektiva.
Han förklarade att företag tvingas samla in känslig data mot sin vilja. Enligt honom gör kraven lite för att förhindra brott trots den börda de lägger på företag och kunder.
“Vi vill inte samla in det, och våra kunder hatar det. Vi tvingas samla in det mot vår vilja. Och det är inte ens effektivt för att stoppa brott, om du tittar på datan bakom det,” sade Armstrong.
