Kraken, giełda kryptowalut, niedawno zgłosiła kradzież prawie 3 milionów dolarów ze swoich kont z powodu krytycznego błędu. Problem wynikający z luki wprowadzonej w niedawnej aktualizacji doświadczenia użytkownika umożliwiał atakującym zasilenie ich kont przed całkowitym wyczyszczeniem depozytów.

Odkrycie Bugu

Luka ta została oznaczona jako umożliwiająca złośliwym użytkownikom tymczasowe „drukowanie zasobów”. Jak stwierdził dyrektor ds. bezpieczeństwa firmy Kraken, Nick Percoco, naruszenie bezpieczeństwa zostało opanowane w ciągu kilku godzin od jego wykrycia.

Błąd został po raz pierwszy zgłoszony firmie Kraken w ramach programu nagród za błędy 9 czerwca. Chociaż w pierwotnym raporcie brakowało szczegółowych informacji, Kraken natychmiast podjął dochodzenie.

Dochodzenie to ujawniło odosobniony przypadek, w którym złośliwa strona mogła zainicjować niepełną wpłatę w celu oszukańczego otrzymania środków. Percoco wyjaśniło, że luka pojawiła się w określonych warunkach i nie narażała bezpośrednio aktywów klienta.

Kraken ujawnia, że ​​został wykorzystany na platformie X

Późniejsze dochodzenie w sprawie integralności systemu ujawniło, że luka została wykorzystana przez trzy osobne konta na krótko przed oficjalnym zgłoszeniem błędu. Z kont tych udało się wyprowadzić znaczne sumy w ramach serii transakcji, które przypadkowo miały miejsce w ciągu kilku dni.

Firma Percoco ujawniła, że ​​osoba, która zgłosiła błąd, pierwotnie przetestowała lukę, zasilając własne konto kwotą 4 dolarów, rzekomo w celu wykazania istnienia błędu i zapewnienia nagrody w ramach programu nagród za błędy.

Jednak później okazało się, że zamiast zachować poufność, osoba ta podzieliła się szczegółami dotyczącymi luki w zabezpieczeniach z dwoma współpracownikami. Następnie kolaboranci wycofali od Krakena łącznie prawie 3 miliony dolarów, bezpośrednio z rezerw firmy.

Percoco podkreśliło, że środki te nie pochodziły z rachunków innych klientów. W odpowiedzi na ten incydent Kraken zażądał pełnego sprawozdania ze swojej działalności i zwrotu skradzionych środków.

Oskarżone strony wstrzymały jednak przekazanie środków, żądając od Krakena najpierw ujawnienia potencjalnego zakresu exploita, gdyby pozostał on nieujawniony.

Odpowiedź Krakena i działania prawne

Sytuacja zaostrzyła się, gdy badacze uznali prośby Krakena o zwrot środków za „nieuzasadnione” i „nieprofesjonalne”.

W rezultacie Kraken zdecydował się nie podawać publicznie nazwy zaangażowanej firmy badawczej, powołując się na naruszenie warunków nagród za błędy i uznając jej działania nie tylko za nieetyczne, ale i przestępcze.

Giełda współpracuje obecnie z organami ścigania, aby potraktować tę kwestię jako sprawę karną, odrzucając wszelkie uznanie firmy zaangażowanej w sprawę ze względu na jej działania.

To niefortunne wydarzenie w Kraken pogłębia szerszy krajobraz luk w zabezpieczeniach aktywów cyfrowych, a liczba hacków do kryptowalut będzie rosła w 2024 r.

Podział strat kryptowalut według luk w zabezpieczeniach

Według raportu Merkle Science „2024 Crypto HackHub Report” tylko w pierwszym kwartale 2024 r. hakerzy ukradli zasoby cyfrowe o wartości 542,7 mln dolarów, co oznacza wzrost o 42% w porównaniu z tym samym okresem 2023 r.

Branża zauważyła zmianę charakteru tych naruszeń bezpieczeństwa, a główną przyczyną są obecnie wycieki kluczy prywatnych, które wyprzedzają exploity dotyczące inteligentnych kontraktów. Tendencja ta wyraźnie kontrastuje z poprzednimi latami, kiedy dominowały luki w inteligentnych kontraktach.

W raporcie podkreślono również znaczny spadek strat spowodowanych lukami w zabezpieczeniach inteligentnych kontraktów, które spadły o 92% do 179 mln dolarów w 2023 r. w porównaniu z 2,6 mld dolarów w 2022 r. Mimo to ponad 55% zhakowanych zasobów cyfrowych w 2023 r. przypisywano kluczowi prywatnemu wycieki, co podkreśla utrzymujące się wyzwanie dla bezpieczeństwa w sektorze kryptowalut.

W ciągu ostatnich 13 lat branża doświadczyła 785 zgłoszonych ataków hakerskich i exploitów, w wyniku których utracono prawie 19 miliardów dolarów, co wskazuje na pilną potrzebę poprawy ogólnych środków bezpieczeństwa.

Wpis Hakerzy wykorzystują błąd Krakena i kradną prawie 3 miliony dolarów pojawił się jako pierwszy na Coinfomanii.