Americká kryptoměnová burza Kraken nedávno odhalila, že hacker, který se prohlašuje za bezpečnostního výzkumníka, zneužil závažnou zranitelnost na její platformě ke krádeži digitálních aktiv v hodnotě 3 milionů dolarů a „vydírá“ je. Výzkumník nahlásil zranitelnost 9. června, ale zneužil ji k výběru prostředků z Krakenovy pokladny, spíše než k zajištění těchto prostředků.

Aktualizace zabezpečení Kraken: 9. června 2024 jsme od bezpečnostního výzkumníka obdrželi upozornění na program Bug Bounty. Původně nebyly zveřejněny žádné podrobnosti, ale jejich e-mail tvrdil, že našel „extrémně kritickou“ chybu, která jim umožnila uměle nafouknout svůj zůstatek na naší platformě.

— Nick Percoco (@c7five) 19. června 2024

Šéf bezpečnosti Kraken Nick Percoco odhalil, že výzkumník a dva jeho přidružené účty využili chyby k výběru více než 3 milionů dolarů. Po zneužití požadovali výzkumníci odměnu za ukradené prostředky, než souhlasili s jejich vrácením. Percoco v příspěvku z 19. června X uvedl, že toto chování nebylo hackingem bílých klobouků, ale vydíráním.

V reakci na tyto incidenty Kraken zdůraznil, že ukradená kryptoměna pochází z jeho burzovní pokladny a že nebyly zasaženy žádné uživatelské prostředky.

V tomto ohledu bezpečnostní auditorská společnost CertiK na platformě X přímo přiznala, že výzkumník bezpečnostních zranitelností zmíněný Krakenem byl white hat hacker CertiK. CertiK argumentoval tím, že po počátečním úspěchu při identifikaci a nápravě zranitelnosti tým bezpečnostních operací Kraken pohrozil jednotlivým zaměstnancům CertiK, že splatí nesprávné částky kryptoměny v nepřiměřeně dlouhé době, a to i bez poskytnutí adresy pro splácení.

CertiK nedávno identifikoval řadu kritických zranitelností na burze @krakenfx, které by mohly potenciálně vést ke ztrátám ve stovkách milionů dolarů. Počínaje nálezem v depozitním systému @krakenfx, kde nemusí rozlišovat mezi různými interními… pic.twitter.com/ JZkMXj2ZCD

— CertiK (@CertiK) 19. června 2024

Když však komunita začala tento incident do hloubky sledovat, bylo zjištěno, že poté, co útočník ukradl finanční prostředky z Krakena, ve skutečnosti vložil část prostředků do mixéru. Nezdálo se, že by to bylo normální chování pro čistý bílý klobouk hacker.

jen testuji nějaké tornádové hotovostní vklady po testování funkce výběru kraken, která je potřebná, abyste se ujistili, že stále funguje pic.twitter.com/PL4zi7GzSW

— Spreek (@spreekaway) 19. června 2024

Kromě toho detektiv on-chain 0xBoboShanti také poukázal na to, že adresa dříve veřejně zveřejněná bezpečnostním výzkumníkem Certik byla detekována a testována již 27. května, což není v souladu s harmonogramem velkoobchodní akce Certik.

Tato událost ještě není uzavřena, ale soudě ze všech informací je celkový směr větru pro CertiK značně nepříznivý.

Tento článek auditorská firma trvá na sebekrádeži? CertiK Obviněný ze zneužívání zranitelnosti Kraken Exchange a škodlivého vydírání appeared first on Zombit.