Dyrektor ds. bezpieczeństwa wiodącej giełdy kryptowalut Kraken, Nick Percoco, ujawnił, że nieujawniona grupa hakerów w białych kapeluszach odmówiła zwrotu aktywów cyfrowych o wartości około 3 milionów dolarów, które ukradła ze skarbca platformy, wykorzystując błąd w jej systemie.

W serii postów X Percoco stwierdził, że badacze bezpieczeństwa żądają, aby giełda kryptowalut zapewniła spekulacyjną kwotę, którą mogłaby stracić, gdyby nie ujawniła błędu, zanim będzie mogła zwrócić skradzione środki.

Badacze bezpieczeństwa ujawniają błąd Kraken

Według Percoco badacz bezpieczeństwa wysłał 9 czerwca do firmy Kraken alert w ramach programu Bug Bounty, twierdząc, że znalazł „niezwykle krytyczny” błąd, który umożliwiał użytkownikom sztuczne zawyżanie salda na platformie. Chociaż giełda obawiała się otrzymywania codziennie wielu fałszywych raportów o nagrodach za błędy, potraktowała to roszczenie poważnie i powołała zespół, który miał zbadać problem.

Zespół znalazł błąd, który umożliwiał cyberprzestępcom inicjowanie depozytów na platformie Kraken i otrzymywanie środków na swoje konta bez kończenia depozytów. Chociaż błąd nie narażał środków klientów na ryzyko, osoba atakująca mogła wydrukować aktywa na ich kontach i dokonać wypłat, które można było pobrać ze skarbca Krakena.

Problem został rozwiązany w niecałe dwie godziny od jego zidentyfikowania. Zespół odkrył, że błąd wynikał z luki w najnowszym doświadczeniu użytkownika (UX) Krakena. Po dalszym dochodzeniu Kraken odkrył, że lukę wykorzystały już trzy konta. Jedno konto było powiązane z użytkownikiem podającym się za badacza bezpieczeństwa.

Okazuje się, że badacz jako pierwszy znalazł błąd, wykorzystał go, aby zasilić swoje konto Kraken kwotą 4 dolarów w kryptografii i zamiast składać raport o nagrodzie za błąd odpowiedniemu zespołowi, poinformował swoich dwóch kolegów, którzy wykorzystali lukę do uzyskania większych sum. Łącznie wycofali ze swoich kont około 3 miliony dolarów w kryptowalutach.

Nagroda za Bug zamieniła się w wymuszenie

Kiedy Kraken skontaktował się z badaczami bezpieczeństwa i zażądał sprawozdania z ich działań oraz zwrotu wycofanych aktywów, odmówili. Nazwali Krakena „nierozsądnym i nieprofesjonalnym” i zażądali od platformy przedstawienia szacunkowych szkód, jakie mógł spowodować błąd.

Percoco powiedział, że Kraken skierował sprawę do organów ścigania, ponieważ dotyczy ona wymuszenia.

„Traktujemy tę sprawę jako sprawę karną i współpracujemy z organami ścigania. Jesteśmy wdzięczni, że zgłoszono ten problem, ale na tym się kończy” – stwierdził Percoco.

Post Hakerzy białych kapeluszy odmawiają zwrotu 3 milionów dolarów skradzionych ze skarbca Krakena pojawił się jako pierwszy na CryptoPotato.