Krakens atklāj kļūdu, kas ļāva negodīgiem "drošības pētniekiem" izmantot 3 miljonus ASV dolāru

ASV bāzētā birža Kraken zaudēja gandrīz 3 miljonus dolāru savā kasē pēc tam, kad vārdā nenosaukta drošības kompānija izmantoja kļūdu savā platformā. Galvenais apsardzes darbinieks Niks Perkoko to atklāja ziņojumā par X, norādot, ka apsardzes firma ir atteikusies atdot līdzekļus un tagad pieprasa lielāku atlīdzību.

Lasiet arī: Kriptobiržas DMM Bitcoin sola atmaksāt lietotājiem pēc 300 miljonu ASV dolāru uzlaušanas

Atbildot uz to, Krakens ir eskalējis šo lietu tiesībaizsardzības iestādēm un uzskatīs to par noziedzīgu. Tomēr lietotājiem nav jāuztraucas, jo birža apgalvo, ka tā jau ir novērsusi ievainojamību, un neviens lietotāja konts nav ietekmēts.

Kraken kļūda ļauj drukāt naudu

Pēc Percoco teiktā, drošības pētnieks 9. jūnijā brīdināja Kraken par kritisku kļūdu, izmantojot programmu Bug Bounty. Veicot iekšēju izmeklēšanu, biržas drošības komanda atklāja ievainojamību, kas varētu ļaut sliktam dalībniekam veikt depozītu savā Kraken kontā un saņemt līdzekļus, nepabeidzot depozītu. Ļaunprātīgs uzbrucējs ar šo ļaunprātīgu izmantošanu varētu no zila gaisa izdrukāt miljonus.

Viņš paskaidroja:

"Mēs atklājām izolētu kļūdu. Tas ļāva ļaunprātīgam uzbrucējam piemērotos apstākļos uzsākt depozītu mūsu platformā un saņemt līdzekļus savā kontā, pilnībā nepabeidzot depozītu.

Iekšējās drošības komanda problēmu mazināja 47 minūšu laikā un pilnībā novērsa pēc dažām stundām. Tomēr uzņēmums atklāja, ka kļūdu izraisīja nesen veiktas izmaiņas tās UX, kas ļāva kreditēt klientu kontus pirms viņu aktīvu dzēšanas. Lai gan izmaiņas tika integrētas, lai nodrošinātu tūlītēju tirdzniecību, tās netika pilnībā pārbaudītas pret šāda veida risku.

Tomēr Percoco piebilda, ka incidents neietekmēja lietotāju īpašumus, un ievainojamības izmantošana skāra tikai Kraken kasi.

Drošības pētnieki ir noziedznieki

Tikmēr ievainojamības analīzē tika atklāts, ka trīs kontos tika izmantots trūkums, un viens no šiem kontiem tika reģistrēts ar drošības pētnieka vārdu, kurš sākotnēji sazinājās ar biržu.

Lasiet arī: Kraken apsver USDT svītrošanu no saraksta, reaģējot uz jaunajiem ES noteikumiem

Lai gan pētnieka konts izmantoja šo kļūdu tikai, lai ieskaitītu sev 4 ASV dolārus, kas ir pietiekami, lai pierādītu, ka kļūda ir patiesa, abi pārējie konti no saviem Kraken kontiem izņēma gandrīz 3 miljonus USD, izmantojot to pašu izmantošanu. Interesanti, ka šie konti bija saistīti ar drošības pētnieka līdzgaitniekiem.

Kraken paskaidroja, ka mēģinājumi atgūt līdzekļus ir bijuši veltīgi, jo pētnieki tagad pieprasa lielāku maksājumu, kas, viņuprāt, ir samērojams ar kļūdas risku.

Percoco to raksturoja kā izspiešanu, kas ir pretrunā ar Bug Bounty programmas principu. Viņš piebilda, ka noteikumu pārkāpšana, kas balto cepuru hakeriem piešķir licenci uzlaušanai, padara drošības pētniekus par noziedzniekiem, un birža pret viņiem izturas kā pret tādiem.