Главный офицер по безопасности криптовалютной биржи Kraken, Ник Перкоко, сообщил о получении предупреждения о наличии "крайне критической" уязвимости в системе, которая могла искусственно увеличить баланс платформы. 🚨
Уязвимость, которую обнаружили и устранили в Kraken, позволяла злоумышленникам получать средства на свой счет без полного процесса депозита. Проблема возникла после обновления пользовательского интерфейса, которое позволяло зачислять средства на счета клиентов до полного прохождения их активов.
Было обнаружено, что три аккаунта использовали эту уязвимость в короткий промежуток времени. Один из этих аккаунтов принадлежал исследователю безопасности, который первоначально обнаружил ошибку в системе и сообщил о ней. Эти три аккаунта смогли вывести почти $3 миллиона с аккаунтов Kraken.
После обращения Kraken к исследователям безопасности с предложением вознаградить их за обнаружение уязвимости, исследователи отказались возвращать средства до тех пор, пока биржа не оценит потенциальный финансовый ущерб от ошибки.
По словам Перкоко, этот инцидент воспринимается как вымогательство, а не как законная деятельность белых хакеров. Он подчеркнул, что Kraken рассматривает такой инцидент как уголовное дело и намерена сотрудничать с правоохранительными органами.
Программа Bug Bounty поддерживает миссию Kraken по обеспечению безопасности пользователей на рынке криптовалют. В 2023 году программа признала 22 отчета из общего числа 461 заявки. 💼