Dyrektor ds. bezpieczeństwa giełdy kryptowalut Kraken, Nick Percoco, powiedział, że otrzymał ostrzeżenie o „wysoce krytycznej” luce w systemie, która może sztucznie zwiększyć saldo platformy. 🚨

Luka, która została odkryta i załatana w Krakenie, umożliwiła atakującym otrzymanie środków na swoje konto bez konieczności przeprowadzania pełnego procesu depozytu. Problem pojawił się po aktualizacji interfejsu użytkownika, która umożliwiła zaksięgowanie środków na kontach klientów przed całkowitym wyczyszczeniem ich aktywów.

Stwierdzono, że na trzech kontach w krótkim czasie wykorzystano tę lukę. Jedno z tych kont należało do badacza bezpieczeństwa, który jako pierwszy odkrył i zgłosił błąd w systemie. Na tych trzech kontach udało się wypłacić prawie 3 miliony dolarów z kont Krakena.

Po tym, jak Kraken zwrócił się do badaczy zajmujących się bezpieczeństwem z propozycją nagrody za odkrycie luki, badacze odmówili zwrotu środków do czasu, aż giełda oceni potencjalny wpływ finansowy błędu.

Według Percoco incydent jest postrzegany raczej jako wymuszenie niż legalna działalność hakerska w białych kapeluszach. Podkreślił, że Kraken traktuje takie zdarzenie jako sprawę karną i zamierza współpracować z organami ścigania.

Program Bug Bounty wspiera misję Krakena polegającą na zapewnieniu bezpieczeństwa użytkownikom na rynku kryptowalut. W 2023 r. w programie rozpatrzono 22 zgłoszenia spośród łącznie 461 wniosków. 💼