The post Crypto Exchange Kraken ztratil 3 miliony dolarů kvůli zneužité bezpečnostní chybě appeared first on Coinpedia Fintech News

Přední světová platforma pro obchodování s kryptoměnami, Kraken nedávno přiznal, že se stal obětí útoku, který úspěšně využil zranitelnost zero-day ke krádeži kryptoměn v hodnotě milionů.

Exploatace odhalena

Kraken obdržel e-mail od svého výzkumníka Bug Bounty 9. června 2024, který jej upozornil na vážnou zranitelnost v síti. Tato chyba umožnila útočníkovi manipulovat s údaji o rozvaze na webu na úroveň, kterou nepodporují skutečné finanční prostředky, jak vysvětlil hlavní bezpečnostní důstojník společnosti Kraken Nick Percoco. 

Tato kritická zranitelnost umožnila útočníkovi provádět vklady a vybírat peníze ze svého účtu, aniž by dokončil proces vkladu.

Rychlá odezva, ale ne dostatečně rychlá

Kraken dokázal zareagovat na výstrahu a odstranit bezpečnostní problém do 47 minut. Problém byl vysledován v novém uživatelském rozhraní, které bylo zavedeno před nějakou dobou a které umožňovalo zákazníkům provádět vklady a využívat peníze předtím, než byly vklady identifikovány zúčtovacím centrem, pokud vůbec. 

Zatímco Kraken uvedl, že během infiltrace nedošlo ke ztrátě hotovosti žádného klienta, chyba umožnila lidem se zlými úmysly vkládat a vybírat falešnou hotovost.

V tomto případě se tři účty začaly pokoušet o stejný krok během týdne a všechny se pokusily převést 3 miliony dolarů z burzy. Z toho jeden účet vlastnil bezpečnostní výzkumník, který tuto chybu nedávno nahlásil.

Pokud jde o první zjištěnou zranitelnost, Percoco poznamenal, že osoba, která ji chtěla zneužít, investovala 4 dolary do kryptoměny, aby ilustrovala problém, a to by mohlo stačit na hlášení o chybě a následnou odměnu. Výzkumník se však rozhodl poskytnout podrobnosti o chybě dvěma dalším účastníkům, společně, kteří byli schopni ukrást téměř 3 miliony dolarů z Krakenových pokladnic.

Etické dilema nebo vydírání?

Když Kraken oslovil jednotlivce, aby vrátili ukradené prostředky a poskytli proof-of-concept (PoC) exploit, výzkumníci požadovali platbu výměnou za vrácení aktiv. Percoco odsoudil toto chování jako vydírání a zdůraznil, že porušuje etické zásady white-hat hackingu.

Kraken incident řeší jako trestní případ a koordinuje to s orgány činnými v trestním řízení

Čtěte také: ŠOKUJÍCÍ: Krypto „řezání prasat“ podvody na vzestupu! Co byste měli vědět