Μία ασυνήθιστη περίπτωση επίθεσης χάκερς, παράνομης εισβολής χάκερς και κλοπής ενός τεράστιου ποσού από τα «ψηφιακά πορτοφόλια» των πελατών ασχολείται τις τελευταίες ημέρες όλη η ελληνική αγορά. Πριν από δύο ημέρες η Vulcan Forged, μια εταιρία blockchain ειδικευμένη στο gaming, με έδρα στο Μαρούσι, κατήγγειλε δημοσίως πως έπεσε θύμα hacking (από αγνώστους χάκερς) με αποτέλεσμα την κλοπή από ψηφιακά πορτοφόλια πελατών της συνολικής αξίας 140 εκατομμυρίων δολαρίων.
Σύμφωνα με την εταιρική της παρουσίαση, «πρόκειται για μια από τις πιο επιτυχημένες και δημοφιλείς εταιρείες στον τομέα του blockchain», με δικό της κρυπτονόμισμα (το ονομάζει $PYR) και χρησιμοποιείται για συναλλαγές εντός της πλατφόρμας και των παιχνιδιών της.
Μετά τις πρώτες ώρες πανικού ακολούθησαν ανακοινώσεις σύμφωνα με τις οποίες «η εταιρεία από την Αθήνα» έχει ήδη επιστρέψει το μεγαλύτερο μέρος των κλεμμένων κεφαλαίων στους πελάτες της αλλά αναζητάει τα ηλεκτρονικά ίχνη των δραστών και υπάρχει πιθανότητα να τους εντοπίσει από τις μετατροπή τους σε άλλα νομίσματα ή την εξαργύρωσή τους σε συγκεκριμένο marketplace.
Η πλειονότητα των κεφαλαίων που ήταν στόχος της κυβερνοεπίθεσης από τα πορτοφόλια των χρηστών ήταν στο δικό της κρυπτονόμισμα. Όμως, σύμφωνα με πληροφορίες, εκτός από το ψηφιακό νόμισμα $PYR, οι χρήστες είχαν στα ψηφιακά τους πορτοφόλια Ethereum (ETH) και Polygon (MATIC), για τα οποία όμως δεν δίδονται λεπτομέρειες για λόγους προστασίας προσωπικών δεδομένων.
Σύμφωνα με την ανακοίνωση της εταιρείας και τις αναρτήσεις του CEO, τα πορτοφόλια των χρηστών ήταν «semi-custodian» και συνεπώς η ομάδα των στελεχών και υπαλλήλων της εταιρείας συν-διαχειρίζεται τα ιδιωτικά κλειδιά των χρηστών και έχει πρόσβαση σε αυτά ενώ θα έπρεπε να είναι προστατευμένα ή τουλάχιστον αποκεντρωμένα ψηφιακά πορτοφόλια χωρίς πρόσβαση άλλου προσώπου πλην του κάθε χρήστη-ιδιοκτήτη.
Ποιός όμως επιβεβαίωσε, πιστοποίησε και διερεύνησε την κλοπή από τα πορτοφόλια; Οι χρήστες, το τεχνικό τμήμα της εταιρεία ή η αρμόδια υπηρεσία της αστυνομίας;
Μα, όπως (δεν) συμβαίνει συνήθως και (δεν) αποτελεί διεθνή πρακτική, η ίδια η εταιρεία- δηλ. τα ίδια πρόσωπα που ευθύνονται για τα κενά ασφαλείας και τα προβλήματα στο σύστημα που διευκόλυναν τους χάκερς, οι οποίοι μεταξύ άλλων φαίνεται να ήξεραν καλά την…κατάσταση. Αλλά αυτό δεν είναι ούτε περίεργο, ούτε ύποπτο για κανέναν στην εταιρεία.
Όπως μαθαίνει όμως ο Joker του emea, τα περίεργα και ασυνήθιστα στην συγκεκριμένη εταιρεία δεν είναι και λίγα. Κατ’ αρχάς η εταιρεία δεν είναι στην πραγματικότητα ούτε τόσο… ελληνική, ούτε το νομικό και εταιρικό καθεστώς της συγκεκριμένης επιχείρησης είναι τόσο…διάφανο. Τουλάχιστον όπως ορίζει η ισχύουσα ελληνική και ευρωπαϊκή νομοθεσία. Παρότι χρησιμοποιεί και συναλλάσσεται με κρυπτονομίσματα δεν έχει λάβει καμία έγκριση, ούτε έχει υποβάλλει αίτηση ούτε στην Τράπεζα της Ελλάδος, ούτε στην Επιτροπή Κεφαλαιαγοράς. Και γιατί να το κάνει άλλωστε;
Η εταιρεία που εκδίδει το κρυπτονόμισμα της έχει ιδρυθεί στις Βρετανικές Παρθένες Νήσους, έναν από τους μεγαλύτερους φορολογικούς παραδείσους, που αναφέρεται σε όλα τα σκάνδαλα της τελευταίας 20ετίας (π.χ. τα πρόσφατα Pandora Papers) και η ανωνυμία μετόχων και ιδιοκτητών είναι ιερή και απαραβίαστη. Σε αυτή την επικράτεια διατηρεί και την έδρα της και όχι στην Ελλάδα ή σε άλλη χώρα της ΕΕ με νομικό πλαίσιο περί κρυπτονομισμάτων.
Και δεν σταματάει εδώ η ιστορία.
Αυτή η εταιρεία επιβλέπεται από ίδρυμα που βρίσκεται στην Σιγκαπούρη, ένα από τα μεγαλύτερα χρηματοπιστωτικά κέντρα του κόσμου, γνωστή και ως η Ελβετία της Ασίας. Βεβαίως, όχι για την σοκολάτα ή τις χιονισμένες πλαγιές της αλλά για την προστασία του τραπεζικού απορρήτου.
Η εταιρεία διατηρεί όντως στο Μαρούσι (δηλ. στην Ελλάδα) γραφεία και κέντρο ανάπτυξης (development) αλλά η λειτουργία της στην ελληνική επικράτεια έχει πολλές… ασάφειες.
Είναι χαρακτηριστικό πως στην ιστοσελίδα της δεν υπάρχει ούτε διεύθυνση, ούτε τηλέφωνο επικοινωνίας, ούτε μία…λέξη για τα στοιχεία της εταιρείας, όπως απαιτεί η ελληνική νομοθεσία .
Ομοίως, καμία εταιρεία στο Γενικό Εμπορικό Μητρώο (ΓΕΜΗ), το υπουργείο Ανάπτυξης και το υπουργείο Οικονομικών δεν έχει διαθέσιμα στοιχεία για τον παγκόσμιο…τεχνολογικό κολοσσό από το Μαρούσι, που ονομάζεται «Vulcan Forged».
Αλήθεια πότε ακριβώς ειδοποιήθηκε (επισήμως από την εταιρεία και όχι από καταγγελία πελάτη/χρήστη) η αρμόδια Υπηρεσία Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας για την κλοπή των 140 εκατομμυρίων, προκειμένου να προβεί στις απαραίτητες ενέργειες, όπως συμβαίνει σε όλες τις σοβαρές κυβερνοεπιθέσεις στην χώρα μας;
πηγη:https://emea.gr