Kriptovalūtu birža Kraken nesen ziņoja par gandrīz 3 miljonu ASV dolāru zādzību no saviem kontiem kritiskas kļūdas dēļ. Problēma, kas radusies no nepilnības, kas tika ieviesta nesenajā lietotāja pieredzes atjauninājumā, ļāva uzbrucējiem kreditēt savus kontus, pirms viņu noguldījumi tika pilnībā notīrīti.

Kļūdas atklāšana

Šī ievainojamība tika apzīmēta kā tāda, kas ļauj ļaunprātīgiem lietotājiem īslaicīgi “drukāt līdzekļus”. Drošības pārkāpums tika ierobežots dažu stundu laikā pēc tā atklāšanas, kā norādīja Krakenas galvenais drošības speciālists Niks Perkoko.

Kļūda pirmo reizi tika pievērsta Kraken uzmanībai, izmantojot tās kļūdu novēršanas programmu 9. jūnijā. Lai gan sākotnējā ziņojumā trūka detalizētas informācijas, tas lika Krakenam nekavējoties veikt izmeklēšanu.

Šī izmeklēšana atklāja atsevišķu gadījumu, kad ļaunprātīga puse varēja uzsākt nepilnīgu depozītu, lai krāpnieciski saņemtu līdzekļus. Percoco paskaidroja, ka ievainojamība radās īpašos apstākļos un nepakļāva klienta aktīvus tiešam riskam.

Kraken atklāj, ka tas tika izmantots X

Turpmākie sistēmas integritātes pētījumi atklāja, ka ievainojamību izmantoja trīs atsevišķi konti neilgi pirms kļūdas oficiālās ziņošanas. Šie konti spēja izņemt ievērojamas summas vairāku darījumu virknē, kas nejauši notika vairāku dienu laikā.

Percoco atklāja, ka persona, kas ziņoja par kļūdu, sākotnēji pārbaudīja kļūdu, ieskaitot savā kontā 4 ASV dolārus, lai pierādītu kļūdas esamību un nodrošinātu atlīdzību, izmantojot kļūdu novēršanas programmu.

Tomēr vēlāk atklājās, ka šī persona bija dalījusies ar informāciju par ievainojamību ar diviem partneriem, nevis saglabājusi to konfidenciālu. Pēc tam šie līdzstrādnieki no Kraken izņēma gandrīz 3 miljonus ASV dolāru tieši no uzņēmuma rezervēm.

Percoco uzsvēra, ka šie līdzekļi nav no citu klientu kontiem. Reaģējot uz šo incidentu, Krakens pieprasīja pilnīgu pārskatu par viņu darbībām un nozagto līdzekļu atgriešanu.

Tomēr apsūdzētās puses ir aizturējušas līdzekļus, pieprasot, lai Krakens vispirms atklātu iespējamo izmantošanu, ja tas paliktu neizpausts.

Krakena atbilde un juridiskās darbības

Šī situācija saasinājās, kad pētnieki Krakena pieprasījumus par līdzekļu atdošanu apzīmēja kā "nepamatotus" un "neprofesionālus".

Rezultātā Krakens ir izvēlējies publiski neidentificēt iesaistīto pētījumu firmu, atsaucoties uz kļūdu atlīdzības noteikumu pārkāpšanu un uzskatot viņu rīcību ne tikai par neētisku, bet arī noziedzīgu.

Šobrīd birža sadarbojas ar tiesībaizsardzības iestādēm, lai šo jautājumu izskatītu kā krimināllietu, noraidot jebkādu iesaistītā uzņēmuma atzīšanu viņu rīcības dēļ.

Šis neveiksmīgais notikums Krakenā papildina plašāku digitālo līdzekļu ievainojamību ainavu, jo 2024. gadā pieaugs kriptovalūtu uzlaušanas gadījumi.

Kriptogrāfijas zudumu sadalījums pēc ievainojamības

Saskaņā ar Merkle Science “2024 Crypto HackHub ziņojumu” vien 2024. gada pirmajā ceturksnī vien hakeri nozaga digitālos īpašumus 542,7 miljonu dolāru vērtībā, kas ir par 42% vairāk nekā tajā pašā periodā 2023. gadā.

Nozare ir novērojusi izmaiņas šo drošības pārkāpumu būtībā, un privātās atslēgas noplūde tagad pārspēj viedo līgumu izmantošanu kā galveno iemeslu. Šī tendence krasi kontrastē ar iepriekšējiem gadiem, kad viedo līgumu ievainojamības bija dominējošākas.

Ziņojumā arī uzsvērts ievērojams zaudējumu samazinājums viedo līgumu ievainojamību dēļ, kas 2023. gadā samazinājās par 92% līdz 179 miljoniem ASV dolāru, salīdzinot ar 2,6 miljardiem ASV dolāru 2022. gadā. Neskatoties uz to, vairāk nekā 55% no uzlauztajiem digitālajiem aktīviem 2023. gadā tika attiecināti uz privāto atslēgu. noplūdes, uzsverot pastāvīgu drošības izaicinājumu kriptovalūtas sektorā.

Pēdējo 13 gadu laikā nozare ir saskārusies ar 785 ziņotiem uzlaušanas gadījumiem un ekspluatācijas gadījumiem, zaudējot gandrīz 19 miljardus ASV dolāru, kas liecina par kritisku vajadzību pēc uzlabotiem drošības pasākumiem visā pasaulē.

The post Hackers Exploit Kraken Bug, nozagt gandrīz 3 miljonus dolāru appeared first on Coinfomania.