Americká burza Kraken ztratila téměř 3 miliony dolarů ve své pokladně poté, co nejmenovaná bezpečnostní společnost zneužila chybu na její platformě. Hlavní bezpečnostní důstojník Nick Percoco to uvedl v příspěvku na X a uvedl, že bezpečnostní firma odmítla vrátit finanční prostředky a nyní požaduje vyšší výplatu jako odměnu.

Čtěte také: Crypto Exchange DMM Bitcoin slibuje splatit uživatelům po hacknutí 300 milionů dolarů

V reakci na to Kraken eskaloval záležitost orgánům činným v trestním řízení a bude s ní jednat jako s trestným činem. Uživatelé se však nemusí obávat, protože burza tvrdí, že již zranitelnost vyřešila a žádný uživatelský účet nebyl ovlivněn.

Chyba Kraken umožňuje tisk peněz

Podle Percoco bezpečnostní výzkumník upozornil Krakena na kritickou chybu prostřednictvím svého programu Bug Bounty 9. června. Při interním vyšetřování tým pro zabezpečení burzy objevil zranitelnost, která by mohla umožnit špatnému herci iniciovat vklad na jejich Krakenův účet a získat prostředky bez dokončení vkladu. Zlomyslný útočník by mohl prostřednictvím tohoto exploitu vytisknout miliony ze vzduchu.

Vysvětlil:

"Objevili jsme izolovanou chybu." To umožnilo zákeřnému útočníkovi za správných okolností zahájit vklad na naši platformu a získat prostředky na svůj účet, aniž by vklad zcela dokončil.“

Interní bezpečnostní tým problém zmírnil do 47 minut a po několika hodinách jej zcela vyřešil. Firma však zjistila, že chyba je důsledkem nedávné změny v jejím uživatelském rozhraní, která umožňovala připsání na účty klientů dříve, než se jejich aktiva vyčistí. Ačkoli byla změna integrována, aby umožnila okamžité obchodování, nebyla plně otestována proti tomuto typu rizika.

Percoco však dodal, že incident neovlivnil majetek uživatelů a zneužití zranitelnosti ovlivnilo pouze pokladnici Kraken.

Bezpečnostní výzkumníci jsou zločinci

Mezitím analýza zranitelnosti zjistila, že chybu zneužily tři účty a jeden z těchto účtů byl zaregistrován pod jménem bezpečnostního výzkumníka, který burzu původně kontaktoval.

Přečtěte si také: Kraken zvažuje odstranění USDT v reakci na nová nařízení EU

Zatímco účet výzkumníka využil chybu pouze k tomu, aby si připsal 4 dolary, což je dost na to, aby dokázal, že chyba byla skutečná, dva další účty stáhly ze svých účtů Kraken téměř 3 miliony dolarů pomocí stejného exploitu. Je zajímavé, že tyto účty byly spojeny se spolupracovníky bezpečnostního výzkumníka.

Kraken vysvětlil, že jeho pokusy získat peníze zpět byly marné, protože výzkumníci nyní požadují vyšší platbu, která je podle nich úměrná riziku chyby.

Percoco to popsal jako akt vydírání, který je v rozporu s principem programu Bug Bounty. Dodal, že porušení těchto pravidel, která dávají white hat hackerům licenci k hackování, dělá z bezpečnostních výzkumníků zločince a burza s nimi tak zachází.