Amerykańska giełda Kraken straciła prawie 3 miliony dolarów w swoim skarbcu po tym, jak anonimowa firma zajmująca się bezpieczeństwem wykorzystała błąd na swojej platformie. Dyrektor ds. bezpieczeństwa, Nick Percoco, ujawnił to w poście na X, stwierdzając, że firma ochroniarska odmówiła zwrotu środków i obecnie żąda wyższej wypłaty w ramach nagrody.

Przeczytaj także: Crypto Exchange DMM Bitcoin obiecuje spłacić użytkowników po włamaniu na kwotę 300 milionów dolarów

W odpowiedzi Kraken przekazał sprawę organom ścigania i potraktuje ją jako przestępstwo. Użytkownicy nie muszą się jednak martwić, ponieważ giełda twierdzi, że załatała już lukę i żadne konto użytkownika nie zostało dotknięte.

Błąd Krakena umożliwia drukowanie pieniędzy

Według Percoco badacz bezpieczeństwa zaalarmował Krakena o krytycznym błędzie za pośrednictwem programu Bug Bounty 9 czerwca. Po wewnętrznym dochodzeniu zespół ds. bezpieczeństwa giełdy odkrył lukę, która może pozwolić złej osobie na zainicjowanie wpłaty na konto Kraken i otrzymanie środków bez uzupełnienia depozytu. Dzięki temu exploitowi złośliwy atakujący może wydrukować miliony znikąd.

Wyjaśnił:

„Odkryliśmy izolowany błąd. Umożliwiło to złośliwemu atakującemu, w odpowiednich okolicznościach, zainicjowanie wpłaty na naszą platformę i otrzymanie środków na swoje konto bez pełnego zrealizowania wpłaty.

Zespół ds. bezpieczeństwa wewnętrznego rozwiązał problem w ciągu 47 minut i naprawił go całkowicie po kilku godzinach. Firma odkryła jednak, że błąd wynikał z niedawnej zmiany w UX, która umożliwiła zasilenie kont klientów przed wyczyszczeniem ich aktywów. Chociaż zmiana została zintegrowana, aby umożliwić natychmiastowy handel, nie została w pełni przetestowana pod kątem tego rodzaju ryzyka.

Percoco dodał jednak, że incydent nie miał wpływu na zasoby użytkowników, a exploity wynikające z luki dotknęły jedynie skarbiec Krakena.

Badacze bezpieczeństwa to przestępcy

Tymczasem analiza luki wykazała, że ​​lukę wykorzystały trzy konta, a jedno z nich zostało zarejestrowane na nazwisko badacza bezpieczeństwa, który początkowo skontaktował się z giełdą.

Przeczytaj także: Kraken rozważa wycofanie USDT z giełdy w odpowiedzi na nowe przepisy UE

Podczas gdy konto badacza wykorzystało tę lukę jedynie do zasilenia sobie 4 dolarów, co wystarczyło, aby udowodnić, że błąd był prawdziwy, dwa pozostałe konta pobrały prawie 3 miliony dolarów ze swoich kont Kraken, korzystając z tego samego exploita. Co ciekawe, konta te były powiązane ze współpracownikami badacza bezpieczeństwa.

Kraken wyjaśnił, że próby odzyskania środków okazały się daremne, ponieważ badacze żądają teraz wyższej płatności, która ich zdaniem jest proporcjonalna do ryzyka wystąpienia błędu.

Percoco określił to jako akt wymuszenia, co jest sprzeczne z zasadami programu Bug Bounty. Dodał, że naruszenie zasad, które dają hakerom w białych kapeluszach licencję na hakowanie, czyni badaczy bezpieczeństwa przestępcami i giełda ich tak traktuje.