• Krakens sacīja, ka trešās puses drošības pētnieki atklāja ievainojamību, ko novērsa kriptovalūtu apmaiņa.

  • Pētnieki slepeni izņēma gandrīz 3 miljonus dolāru un atteicās tos atdot, vispirms neredzot dāvinājuma summu, sacīja Krakens.

  • Krakens norādīja, ka tas nemaksās dārgumu pētniekiem, jo ​​viņi neievēroja programmas noteikumus.

Kripto birža Kraken sacīja, ka "drošības pētnieki", kuri atklāja platformas ievainojamību, pievērsās "izspiešanai" pēc aptuveni 3 miljonu ASV dolāru izņemšanas no biržas kases.

Niks Perkoko, Krakena galvenais drošības virsnieks, sociālajā mediju platformā X (iepriekš Twitter) paziņoja, ka uzņēmums 9. jūnijā saņēma brīdinājumu par kļūdu programmu no drošības pētnieka par ievainojamību, kas lietotājiem ļauj mākslīgi palielināt līdzsvaru. . Kļūda "ļāva ļaunprātīgam uzbrucējam piemērotos apstākļos uzsākt depozītu mūsu platformā un saņemt līdzekļus savā kontā, pilnībā nepabeidzot depozītu," piebilda Percoco.

Kraken drošības atjauninājums: 2024. gada 9. jūnijā mēs saņēmām brīdinājumu par programmu Bug Bounty no drošības pētnieka. Sākotnēji informācija netika atklāta, taču viņu e-pastā tika apgalvots, ka viņi atrada "ārkārtīgi kritisku" kļūdu, kas ļāva viņiem mākslīgi palielināt līdzsvaru mūsu platformā.

— Niks Perkoko (@c7five), 2024. gada 19. jūnijs

Pēc ziņojuma saņemšanas Kraken ātri novērsa problēmu un netika ietekmēti nekādi lietotāju līdzekļi, atzīmēja Percoco.

Kas notika pēc tam, Kraken komandai tika pacelti sarkanie karogi.

Drošības pētnieks, atklājot kļūdu, to atklāja vēl divām personām, kuras pēc tam "krāpnieciski" no saviem Kraken kontiem izņēma gandrīz 3 miljonus ASV dolāru. "Tas bija no Krakena kasēm, nevis citiem klientu aktīviem," sacīja Perkoko.

Sākotnējā kļūdu ziņojumā nebija minēti divu citu personu darījumi, un, kad Krakens lūdza sīkāku informāciju par viņu darbībām, viņi atteicās.

"Tā vietā viņi pieprasīja zvanu savai biznesa attīstības komandai (t.i., saviem pārdošanas pārstāvjiem) un nav piekrituši atdot nekādus līdzekļus, kamēr mēs nesniegsim spekulatīvo summu USD, ko šī kļūda varētu izraisīt, ja viņi to nebūtu atklājuši. Tas nav balts. -Cepuru uzlaušana, tā ir izspiešana! Percoco rakstīja.

Kļūdu kompensācijas programmas, ko izmanto daudzi uzņēmumi, lai stiprinātu savas drošības sistēmas, aicina trešo pušu hakerus, kas pazīstami kā "baltās cepures", atrast ievainojamības, lai uzņēmums varētu tās novērst, pirms ļaunprātīgs dalībnieks tās izmanto. Kraken konkurentam Coinbase ir līdzīga programma, kas palīdz brīdināt par ievainojamību apmaiņu.

Lai saņemtu atlīdzību, Krakena programma pieprasa, lai trešā puse atrastu problēmu, izmantotu minimālo summu, kas nepieciešama, lai pierādītu kļūdu, atgrieztu līdzekļus un sniegtu informāciju par ievainojamību, emuāra ierakstā sacīja Krakens, piebilstot, ka kopš drošības pētniekiem. neievērojot šos noteikumus, viņi nesaņems balvu.

"Mēs godprātīgi iesaistījām šos pētniekus un saskaņā ar desmit gadu ilgo kļūdu novēršanas programmu esam piedāvājuši ievērojamu atlīdzību par viņu centieniem. Esam vīlušies par šo pieredzi un tagad sadarbojamies ar tiesībaizsardzības iestādēm, lai atgūtu aktīvi no šiem drošības pētniekiem," CoinDesk sacīja Kraken pārstāvis.

Lasiet vairāk: jūsu kriptovalūtu projektam ir vajadzīgs šerifs, nevis devību mednieks