Post Crypto Exchange Kraken zaudē 3 miljonus dolāru izmantotās drošības nepilnības dēļ appeared first on Coinpedia Fintech News

Pasaulē vadošā kriptovalūtu tirdzniecības platforma Kraken nesen atzina, ka ir kļuvusi par upuri uzbrukumam, kas veiksmīgi izmantoja nulles dienas ievainojamību, lai nozagtu miljoniem vērtu kriptovalūtu.

Ekspluatācija atklāta

2024. gada 9. jūnijā Kraken saņēma e-pasta ziņojumu no sava Bug Bounty pētnieka, kurā tika brīdināts par nopietnu tīkla ievainojamību. Trūkums ļāva uzbrucējam manipulēt ar bilances skaitļiem vietnē līdz līmenim, ko neatbalsta faktiskie līdzekļi, kā paskaidroja Krakenas galvenais drošības speciālists Niks Perkoko. 

Šī kritiskā ievainojamība ļāva uzbrucējam veikt noguldījumus un izņemt naudu savā kontā, kamēr vēl nebija pabeigts depozīta process.

Ātra atbilde, bet ne pietiekami ātra

Krakens spēja reaģēt uz brīdinājumu un novērst drošības problēmu 47 minūšu laikā. Problēma tika izsekota jaunā lietotāja interfeisā, kas tika ieviests kādu laiku atpakaļ, un tas ļāva klientiem veikt noguldījumus un izmantot naudu, pirms klīringa iestāde noguldījumus identificēja, ja tāda vispār bija. 

Lai gan Krakens paziņoja, ka infiltrācijas laikā neviena klienta skaidra nauda netika zaudēta, kļūda ļāva cilvēkiem ar ļauniem nodomiem iemaksāt un izņemt viltotu skaidru naudu.

Šajā gadījumā trīs konti sāka mēģināt veikt identisku darbību nedēļas laikā, un visi no tiem mēģināja pārskaitīt 3 miljonus USD no biržas. Viens no tiem piederēja drošības pētniekam, kurš nesen ziņoja par šo kļūdu.

Runājot par pirmo identificēto ievainojamību, Percoco komentēja, ka persona, kuras mērķis bija to izmantot, ieguldīja 4 USD kriptovalūtā, lai ilustrētu problēmu, un ar to varētu pietikt, lai saņemtu ziņojumu par kļūdu un turpmāku atlīdzību. Tomēr pētnieks nolēma sniegt informāciju par kļūdu diviem citiem dalībniekiem kopā, kuri varēja nozagt gandrīz 3 miljonus ASV dolāru no Krakena kasēm.

Ētiska dilemma vai izspiešana?

Kad Krakens vērsās pie personām, lai atgrieztu nozagtos līdzekļus un nodrošinātu koncepcijas pierādījumu (PoC), pētnieki pieprasīja samaksu apmaiņā pret aktīvu atdošanu. Percoco nosodīja šo uzvedību kā izspiešanu, uzsverot, ka tā pārkāpj balto cepuru uzlaušanas ētikas principus.

Krakens šo incidentu izskata kā krimināllietu un veic saskaņošanu ar tiesībsargājošajām iestādēm

Lasiet arī: ŠOKĒJOŠI: pieaug kriptogrāfijas “cūku slaktīšanas” izkrāpšana! Kas Jums jāzina