Vedoucí bezpečnostní směnárny Kraken Nick Percoco odhalil, že nezveřejněná skupina hackerů s bílým kloboukem odmítla vrátit digitální aktiva v hodnotě zhruba 3 milionů dolarů, která ukradli z pokladny platformy zneužitím chyby v jejím systému.

V sérii X příspěvků Percoco uvedl, že bezpečnostní výzkumníci požadují, aby kryptoburza poskytla spekulované množství peněz, o které by mohla přijít, kdyby chybu neodhalili dříve, než by mohli vrátit ukradené prostředky.

Bezpečnostní výzkumníci odhalili chybu Krakena

Podle Percoco poslal bezpečnostní výzkumník 9. června do Krakenu upozornění na program Bug Bounty a tvrdil, že našli „extrémně kritickou“ chybu, která uživatelům umožňovala uměle navyšovat svůj zůstatek na platformě. Přestože burza denně dostávala několik falešných hlášení o odměnách za chyby, vzala toto tvrzení vážně a sestavila tým, aby problém prošetřil.

Tým našel chybu, která umožnila kyberzločincům zahájit vklady na Kraken a přijímat prostředky na své účty, aniž by vklady dokončili. Přestože tato chyba neohrozila finanční prostředky zákazníků, útočník mohl vytisknout aktiva na jejich účtech a provést výběry, které by bylo možné získat z pokladny Krakena.

Problém byl vyřešen za méně než dvě hodiny od jeho identifikace. Tým zjistil, že chyba pramenila z chyby v nejnovější uživatelské zkušenosti (UX) Krakenu. Po dalším vyšetřování Kraken zjistil, že tři účty již tuto chybu využily. Jeden účet byl propojen s uživatelem, který tvrdil, že je bezpečnostním výzkumníkem.

Ukázalo se, že výzkumník našel chybu jako první, využil ji k tomu, aby připsal na svůj účet Kraken 4 dolary v kryptoměnách, a místo aby podal zprávu o odměně za chybu příslušnému týmu, informoval své dva kolegy, kteří chyby využili k větším částkám. Dohromady stáhli ze svých účtů zhruba 3 miliony dolarů v kryptoměnách.

Bug Bounty se změnilo na vydírání

Když Kraken kontaktoval bezpečnostní výzkumníky a požádal o vyúčtování jejich aktivit a vrácení majetku, který stáhli, odmítli. Označili Krakena za nerozumného a neprofesionálního a požadovali, aby platforma poskytla odhadované škody, které mohla chyba způsobit.

Percoco řekl, že Kraken případ řešil s orgány činnými v trestním řízení, protože jde o vydírání.

„Řešíme to jako trestní případ a koordinujeme to s orgány činnými v trestním řízení. Jsme vděční, že byl tento problém nahlášen, ale tím tato myšlenka končí,“ uvedl Percoco.

The post White-Hat hackeři odmítají vrátit 3 miliony dolarů ukradených z Kraken’s Treasury appeared first on CryptoPotato.