Kraken, přední světová burza kryptoměn, se nedávno potýkala s významnou bezpečnostní výzvou. Platforma byla upozorněna bezpečnostním výzkumníkem na kritickou zranitelnost, která mohla umožnit neoprávněné vytváření digitálních aktiv. Tento incident podtrhuje přetrvávající výzvy, kterým čelí platformy digitálních aktiv při udržování robustních bezpečnostních opatření.
Po obdržení upozornění Krakenův bezpečnostní tým záležitost rychle prošetřil a odlišil ji od běžných falešných poplachů. Zjištěná chyba byla obzvláště závažná – umožňovala uživatelům registrovat vklady a přijímat odpovídající kredity na své účty bez skutečného převodu finančních prostředků.
Tato chyba pocházející z nedávné aktualizace uživatelského prostředí, která předčasně připsala uživatelské účty před potvrzením vkladu, představovala hypotetické riziko „vytištění“ digitálních aktiv ze vzduchu.
Důsledky a přijatá opatření
Vyšetřování odhalilo, že pouze tři účty zneužily chybu, včetně toho, který patří oznamovateli. Zatímco výzkumník demonstroval zneužití vytvořením nominálního množství kryptoměny, nepodařilo se mu to oficiálně nahlásit prostřednictvím programu Kraken’s Bug Bounty.
Místo toho prozradili metodu dvěma dalším stranám, které pak tuto zranitelnost využily k vytěžení milionů kryptoměn, což vyvrcholilo neoprávněnými výběry v celkové výši přibližně 3 miliony dolarů.
Nick Percoco, hlavní bezpečnostní ředitel společnosti Kraken, zaznamenal problém při řešení situace vzhledem k neúplné úvodní zprávě, která postrádala důležité podrobnosti o transakci.
Aktualizace zabezpečení Kraken: 9. června 2024 jsme od bezpečnostního výzkumníka obdrželi upozornění na program Bug Bounty. Původně nebyly zveřejněny žádné podrobnosti, ale jejich e-mail tvrdil, že našel „extrémně kritickou“ chybu, která jim umožnila uměle nafouknout svůj zůstatek na naší platformě.
— Nick Percoco (@c7five) 19. června 2024
Dialog s výzkumníky se zastavil, protože požadovali spíše výkupné než vrácení finančních prostředků a navrhli výplatu na základě potenciální finanční škody, kterou by chyba mohla způsobit.
Kraken, který tyto požadavky označil za vydírání, odmítl veřejně jmenovat zúčastněnou bezpečnostní firmu a podniká právní kroky, přičemž problém řeší jako trestní případ. Společnost ujistila uživatele, že v žádném okamžiku nebyla ohrožena žádná aktiva klienta.