Dyrektor ds. bezpieczeństwa Krakena ujawnił, że błąd w systemie finansowania giełdy doprowadził do straty w wysokości 3 milionów dolarów po wykorzystaniu go przez nieuczciwych badaczy bezpieczeństwa.

Amerykańska giełda kryptowalut Kraken straciła na początku czerwca kryptowaluty o wartości około 3 milionów dolarów po tym, jak nieuczciwy „badacz bezpieczeństwa” wykorzystał błąd w systemie finansowania giełdy. Główny oficer bezpieczeństwa Krakena, Nick Percoco, ujawnił incydent w wątku X, podkreślając naruszenie standardów etycznych przez zaangażowane osoby.

Codziennie otrzymujemy fałszywe raporty bug bounty od osób podających się za „badaczy bezpieczeństwa”. Nie jest to nic nowego dla nikogo, kto prowadzi program bug bounty. Jednak potraktowaliśmy to poważnie i szybko zebraliśmy wielofunkcyjny zespół, aby zbadać ten problem. Oto, co odkryliśmy.

— Nick Percoco (@c7five) 19 czerwca 2024 r.

Według Percoco, zespół otrzymał powiadomienie od „badacza ds. bezpieczeństwa” o potencjalnym błędzie 9 czerwca. Później zespół znalazł „wadę wynikającą z niedawnej zmiany UX”, która pozwalała na kredytowanie kont klientów przed rozliczeniem ich aktywów, umożliwiając klientom efektywny handel na rynkach kryptowalut w czasie rzeczywistym. CSO Kraken przyznał, że giełda nie przetestowała zmiany UX pod kątem tego konkretnego wektora ataku przed atakiem.

„Ta zmiana UX nie została dokładnie przetestowana pod kątem tego konkretnego wektora ataku” – napisał Percoco.

Może Ci się również spodobać: Kraken ponownie prosi o oddalenie pozwu SEC, powołując się na nieprawidłowe sformułowanie

Po załataniu luki Kraken odkrył, że trzy konta wcześniej wykorzystały tę samą lukę w odstępie kilku dni. Zamiast zgłosić błąd bezpośrednio, badacz ds. bezpieczeństwa rzekomo podzielił się informacją z dwoma współpracownikami, powiedział Percoco, dodając, że nieznane osoby ostatecznie wypłaciły prawie 3 miliony dolarów z zasobów Kraken.

Percoco zauważył, że początkowy raport „badacza ds. bezpieczeństwa” nie ujawniał w pełni błędu, więc zespół musiał ponownie potwierdzić pewne szczegóły, aby móc nagrodzić go za pomyślne zidentyfikowanie luki w zabezpieczeniach.

Kraken zażądał pełnego sprawozdania z ich działań, dowodu koncepcji i zwrotu wypłaconych środków. Jednak osoby te odmówiły podporządkowania się, co Percoco opisał jako „nie hakowanie white-hat”, ale raczej „wymuszenie”. Nadal nie jest jasne, czy Kraken zidentyfikował wszystkich atakujących lub czy udało mu się odzyskać skradzione środki.

Czytaj więcej: Giełda kryptowalut Kraken planuje pozyskać 100 mln USD przed IPO