Gnosis Pay và các dự án tiền điện tử khác bị ảnh hưởng trong vụ rò rỉ dữ liệu Fractal ID

Mạng lưới thanh toán phi tập trung Gnosis Pay đã cảnh báo người dùng vào thứ Tư về một vụ vi phạm dữ liệu tại Fractal ID, dịch vụ xác minh khách hàng mà họ đã sử dụng ít nhất từ năm 2019, theo một email dịch vụ khách hàng mà The Block đã thấy. Gnosis có thể không phải là công ty Web3 duy nhất bị ảnh hưởng.  

“Vào lúc 7:30 PM CET, thứ Hai, ngày 15 tháng 7 năm 2024, nhà cung cấp dịch vụ Know Your Customer (KYC) của chúng tôi, Fractal ID, đã thông báo cho đội ngũ Gnosis Pay rằng họ đã bị vi phạm dữ liệu vào Chủ nhật, ngày 14 tháng 7 năm 2024,” đội ngũ Gnosis Pay viết. 

CEO của Gnosis Pay, Julian Leitloff, đã xác nhận các báo cáo về vụ khai thác với The Block. “Một tài khoản điều hành duy nhất đã bị xâm nhập và kết quả là chúng tôi nhận thấy hoạt động đáng ngờ vào sáng Chủ nhật. Chúng tôi ngay lập tức dừng truy cập và có thể xác định nguyên nhân, sau đó được xác minh với sự hỗ trợ bên ngoài,” ông nói trong một tin nhắn trực tiếp. Khoảng 0,5% trong số 1 triệu người dùng của Fractal ID đã bị ảnh hưởng, Leitloff cho biết. 

Giống như các nhà cung cấp dịch vụ KYC và chống rửa tiền (AML) khác, Fractal ID có trụ sở tại Berlin, được thành lập vào năm 2017, thu thập và lưu trữ dữ liệu nhạy cảm của người dùng, gọi là thông tin nhận dạng cá nhân, bao gồm tên, nơi cư trú, địa chỉ email, “ảnh tự chụp phát hiện sự sống” và các tài liệu như hộ chiếu và giấy phép.

Fractal ID cung cấp hỗ trợ tuân thủ cho ít nhất tám giao thức tiền điện tử bao gồm Polygon, Ripple và Near và hơn 250 công ty trong số khách hàng của mình, theo website của họ.

“Cuộc tấn công không nhắm vào Gnosis cụ thể, mà nhắm vào quyền truy cập tài khoản của người điều hành. Hệ thống tự nó không bị ảnh hưởng nhưng tài khoản này, có nghĩa là mọi người dùng mà tài khoản đó có quyền truy cập,” Leitloff nói.

Trong một ảnh chụp màn hình của email từ Fractal ID được đăng lên X, công ty cho biết một trong những kỹ sư của họ đã phát hiện ra rằng một kẻ tấn công đã truy cập vào tài khoản của một người điều hành Fractal ID, cho phép họ chạy một script API để truy cập dữ liệu người dùng. Fractal ID cho biết họ đã dừng vụ khai thác trong hơn hai giờ.

“Fractal KYC yêu cầu chứng minh ID và chứng minh nơi cư trú, v.v. Tôi đã sử dụng điều này cho KYC của Optimism retro và KYC của Thrive/Arbitrum,” người dùng X @arlery, người đã đăng email của Fractal ID , cho biết. “Thực tế rằng họ đã bị xâm nhập là rất đáng báo động.”

Leitloff cho biết không rõ làm thế nào kẻ tấn công đã xâm nhập, mặc dù công ty nghi ngờ rằng nó liên quan đến một “mật khẩu bị đánh cắp từ các vụ hack khác.”

Dữ liệu nhạy cảm của người dùng “được mã hóa bằng quy trình bảo mật hiện đại,” công ty viết trong một blog . Leitloff cho biết mặc dù công ty cung cấp sản phẩm nhận dạng phi tập trung, họ sử dụng cơ sở dữ liệu tập trung để lưu trữ dữ liệu khách hàng. Điều này "không phải là yêu cầu pháp lý per se nhưng là điều mà hầu hết các thực thể được quy định yêu cầu" vì lưu trữ cục bộ trên máy tính của người dùng "chắc chắn sẽ không hoạt động."

Fractal ID, được xây dựng trên Polkadot DOT -1.43% , cũng là một trong những nhà phát triển chính của hệ điều hành nhận dạng kỹ thuật số mã nguồn mở idOS, được xây dựng để cho phép người dùng quản lý danh tính của mình trên Web. Nó đã nhận được sự hỗ trợ từ cả Enterprise Singapore và chính phủ Đức và đã huy động được gần 8 triệu đô la, theo PitchBook .

Fractal ID chưa tiết lộ vụ vi phạm dữ liệu trên mạng xã hội, blog hoặc website của mình, tuy nhiên Leitloff nói với The Block rằng vụ khai thác chỉ ảnh hưởng đến một phần nhỏ trong số người dùng của Fractal ID.