Hlavní bezpečnostní ředitel společnosti Kraken prozradil, že chyba v systému financování burzy vedla ke ztrátě 3 milionů dolarů poté, co ji zneužili nepoctiví bezpečnostní výzkumníci.
Americká kryptoburza Kraken ztratila na začátku června kryptoměny v hodnotě kolem 3 milionů dolarů poté, co nepoctivý „bezpečnostní výzkumník“ zneužil chybu v systému financování burzy. Hlavní bezpečnostní důstojník společnosti Kraken Nick Percoco odhalil incident ve vláknu X a zdůraznil porušení etických standardů zúčastněnými jednotlivci.
Každý den dostáváme falešné zprávy o odměnách za chyby od lidí, kteří tvrdí, že jsou „bezpečnostní výzkumníci“. To není nic nového pro nikoho, kdo provozuje bug bounty program. Nicméně jsme to vzali vážně a rychle jsme sestavili vícefunkční tým, abychom se do tohoto problému dostali. Zde je to, co jsme našli.
— Nick Percoco (@c7five) 19. června 2024
Podle Percoco tým poprvé obdržel oznámení od „bezpečnostního výzkumníka“ o potenciální chybě 9. června. Později tým našel „chybu vyplývající z nedávné změny uživatelského prostředí“, která by umožnila připsat účty klientů před jejich aktivy. cleared, což klientům umožňuje efektivně obchodovat s kryptotrhy v reálném čase. Kraken CSO připustil, že burza netestovala změnu UX proti tomuto specifickému vektoru útoku před útokem.
"Tato změna UX nebyla důkladně testována proti tomuto specifickému útočnému vektoru," napsal Percoco.
Také by se vám mohlo líbit: Kraken znovu žádá o zamítnutí žaloby SEC s uvedením nesprávné formulace
Po opravě zranitelnosti Kraken zjistil, že tři účty dříve zneužily stejnou chybu během několika dní po sobě. Místo přímého nahlášení chyby bezpečnostní výzkumník údajně sdílel informace se dvěma spolupracovníky, řekl Percoco a dodal, že neznámí jednotlivci nakonec vybrali téměř 3 miliony dolarů z pokladnic Kraken.
Percoco poukázal na to, že původní zpráva od „bezpečnostního výzkumníka“ zcela neodhalila chybu, takže tým musel znovu potvrdit některé podrobnosti, aby postoupil s odměnou za úspěšnou identifikaci bezpečnostní chyby.
Kraken požadoval úplné vyúčtování jejich činnosti, důkaz koncepce a vrácení vybraných prostředků. Jednotlivci však odmítli vyhovět, což Percoco popsal jako „ne hacking white-hat“, ale spíše „vydírání“. Zůstává nejasné, zda Kraken identifikoval všechny útočníky nebo se mu podařilo získat ukradené prostředky.
Přečtěte si více: Krypto burza Kraken eyes navýšení o 100 milionů dolarů před IPO