Vadošās kriptovalūtu biržas Kraken galvenais drošības virsnieks Niks Perkoko atklāja, ka neatklāta balto cepuru hakeru grupa ir atteikusies atdot digitālos aktīvus aptuveni 3 miljonu ASV dolāru vērtībā, kurus viņi nozaga no platformas kases, izmantojot kļūdu tās sistēmā.
Vairākos X ierakstos Percoco sacīja, ka drošības pētnieki pieprasa, lai kriptovalūtu birža sniegtu spekulētu naudas summu, ko tā varētu zaudēt, ja viņi nebūtu atklājuši kļūdu pirms nozagto līdzekļu atgriešanas.
Drošības pētnieki atklāj Kraken kļūdu
Pēc Percoco teiktā, drošības pētnieks 9. jūnijā Krakenam nosūtīja Bug Bounty programmas brīdinājumu, apgalvojot, ka viņi ir atraduši "ārkārtīgi kritisku" kļūdu, kas lietotājiem ļāva mākslīgi palielināt līdzsvaru platformā. Lai gan birža bija piesardzīga, katru dienu saņemot vairākus viltotus kļūdu ziņojumus, tā šo prasību uztvēra nopietni un izveidoja komandu, lai izmeklētu šo problēmu.
Komanda atrada kļūdu, kas ļāva kibernoziedzniekiem uzsākt noguldījumus Kraken un saņemt līdzekļus savos kontos, nepabeidzot noguldījumus. Lai gan kļūda neapdraudēja klientu līdzekļus, uzbrucējs varēja izdrukāt viņu kontos esošos līdzekļus un veikt naudas izņemšanu, ko varēja izņemt no Krakena kases.
Problēma tika novērsta mazāk nekā divu stundu laikā pēc tās identificēšanas. Komanda atklāja, ka kļūda radusies Kraken jaunākās lietotāja pieredzes (UX) nepilnības dēļ. Veicot turpmāku izmeklēšanu, Krakens atklāja, ka trīs konti jau ir izmantojuši šo trūkumu. Viens konts tika saistīts ar lietotāju, kurš apgalvoja, ka ir drošības pētnieks.
Izrādās, pētnieks vispirms atrada kļūdu, izmantoja to, lai ieskaitītu viņu Kraken kontā 4 dolārus kriptovalūtā, un tā vietā, lai iesniegtu ziņojumu par kļūdu, atbilstošajai komandai, informēja savus divus kolēģus, kuri izmantoja kļūdu, lai iegūtu lielākas summas. Kopā viņi no saviem kontiem izņēma aptuveni 3 miljonus USD kriptovalūtā.
Bug Bounty Turned Extortion
Kad Krakens sazinājās ar drošības pētniekiem un pieprasīja pārskatu par viņu darbībām un izņemto aktīvu atdošanu, viņi atteicās. Viņi sauca Kraken par nepamatotu un neprofesionālu un pieprasīja, lai platforma sniegtu aptuveno kaitējumu, ko kļūda varētu būt nodarījusi.
Perkoko sacīja, ka Krakens ir izskatījis lietu tiesībsargājošajās iestādēs, jo lieta ir saistīta ar izspiešanu.
“Mēs to izskatām kā krimināllietu un attiecīgi sadarbojamies ar tiesībsargājošajām iestādēm. Mēs esam pateicīgi, ka tika ziņots par šo problēmu, taču ar to šī doma beidzas, ”sacīja Perkoko.
Post The White-Hat Hackers Refuse Return $3M Stolen from Kraken’s Treasury appeared first on CryptoPotato.