Szybka naprawa Krakena: jak krytyczny błąd prawie doprowadził do bezpłatnego drukowania pieniędzy na giełdzie

Kraken, wiodąca globalna giełda kryptowalut, niedawno stawiła czoła poważnemu wyzwaniu związanemu z bezpieczeństwem. Platforma została zaalarmowana przez badacza bezpieczeństwa o krytycznej luce, która mogła pozwolić na nieautoryzowane tworzenie zasobów cyfrowych. Ten incydent podkreśla ciągłe wyzwania stojące przed platformami zasobów cyfrowych w zakresie utrzymywania solidnych środków bezpieczeństwa.

Po otrzymaniu zgłoszenia zespół bezpieczeństwa Krakena szybko zbadał sprawę, odróżniając ją od powszechnych fałszywych alarmów. Zidentyfikowany błąd był szczególnie poważny — umożliwiał użytkownikom rejestrowanie depozytów i otrzymywanie odpowiednich kredytów na swoje konta bez faktycznego transferu środków. 

Ta wada, wynikająca z niedawnej aktualizacji doświadczeń użytkowników, która przedwcześnie zasilała konta użytkowników przed potwierdzeniem wpłaty, stwarzała hipotetyczne ryzyko „wydrukowania” zasobów cyfrowych z powietrza.

Konsekwencje i podjęte działania

Dochodzenie wykazało, że błąd wykorzystały tylko trzy konta, w tym jedno należące do sygnalisty. Chociaż badacz zademonstrował exploit, tworząc nominalną ilość kryptowaluty, nie zgłosił tego oficjalnie za pośrednictwem programu Kraken’s Bug Bounty. 

Zamiast tego ujawnili tę metodę dwóm innym stronom, które następnie wykorzystały lukę w celu wydobycia wielomilionowych kryptowalut, co zakończyło się nieautoryzowanymi wypłatami na łączną kwotę około 3 milionów dolarów.

Nick Percoco, dyrektor ds. bezpieczeństwa Krakena, zauważył wyzwanie związane z uporaniem się z tą sytuacją, biorąc pod uwagę niekompletny raport początkowy, w którym brakowało kluczowych szczegółów transakcji. 

Aktualizacja zabezpieczeń Kraken: 9 czerwca 2024 r. otrzymaliśmy alert w ramach programu Bug Bounty od badacza bezpieczeństwa. Początkowo nie ujawniono żadnych szczegółów, ale ich e-mail zawierał informację o znalezieniu „niezwykle krytycznego” błędu, który pozwolił im sztucznie zawyżać saldo na naszej platformie.

— Nick Percoco (@c7five) 19 czerwca 2024 r

Dialog z badaczami utknął w martwym punkcie, ponieważ zamiast zwrotu środków żądali okupu, proponując wypłatę na podstawie potencjalnych szkód finansowych, jakie mógł wyrządzić błąd. 

Kraken, określając te żądania jako wymuszenie, odmówił publicznego podania nazwy firmy ochroniarskiej i podejmuje kroki prawne, traktując sprawę jako sprawę karną. Firma zapewniła użytkowników, że żadne aktywa klienta nie zostały w żadnym momencie naruszone.