Post Crypto Exchange Kraken traci 3 miliony dolarów z powodu luki w zabezpieczeniach pojawił się jako pierwszy w Coinpedia Fintech News

Kraken, wiodąca na świecie platforma handlu kryptowalutami, przyznała niedawno, że padła ofiarą ataku, który skutecznie wykorzystał lukę dnia zerowego w celu kradzieży kryptowalut o wartości milionów dolarów.

Exploit ujawniony

9 czerwca 2024 r. Kraken otrzymał wiadomość e-mail od badacza Bug Bounty, w której zaalarmowano go o poważnej luce w sieci. Luka umożliwiła osobie atakującej manipulowanie danymi bilansowymi w witrynie do poziomu, który nie jest poparty rzeczywistymi funduszami, jak wyjaśnił dyrektor ds. bezpieczeństwa firmy Kraken, Nick Percoco. 

Ta krytyczna luka umożliwiła osobie atakującej dokonywanie wpłat i wypłacanie pieniędzy ze swojego konta jeszcze przed zakończeniem procesu wpłaty.

Szybka reakcja, ale niewystarczająco szybka

Kraken był w stanie zareagować na alert i wyeliminować problem bezpieczeństwa w ciągu 47 minut. Przyczyną problemu był wprowadzony jakiś czas temu nowy interfejs użytkownika, który umożliwiał klientom dokonywanie depozytów i wykorzystywanie pieniędzy, zanim depozyty zostały zidentyfikowane przez izbę rozliczeniową, jeśli w ogóle. 

Chociaż Kraken stwierdził, że podczas infiltracji nie doszło do utraty środków pieniężnych klientów, błąd umożliwił osobom mającym złe intencje wpłacanie i wypłacanie fałszywych środków pieniężnych.

W tym przypadku trzy konta rozpoczęły próbę identycznego ruchu w ciągu tygodnia i wszystkie próbowały przelać z giełdy 3 miliony dolarów. Spośród nich jedno konto należało do badacza bezpieczeństwa, który niedawno zgłosił ten błąd.

Jeśli chodzi o pierwszą zidentyfikowaną lukę, Percoco skomentował, że osoba, która chciała ją wykorzystać, zainwestowała 4 dolary w kryptowaluty, aby zilustrować problem, co może wystarczyć do raportu o nagrodzie za błąd i późniejszej nagrody. Badacz zdecydował się jednak przekazać szczegóły błędu dwóm innym uczestnikom, którym łącznie udało się ukraść prawie 3 miliony dolarów ze skarbców Krakena.

Dylemat etyczny czy wymuszenie?

Kiedy Kraken zwrócił się do osób fizycznych z prośbą o zwrot skradzionych środków i przedstawienie exploita weryfikującego koncepcję (PoC), badacze zażądali zapłaty w zamian za zwrot aktywów. Percoco potępiła to zachowanie jako wymuszenie, podkreślając, że narusza ono zasady etyczne hakowania w białych kapeluszach.

Kraken traktuje incydent jako sprawę karną i współpracuje z organami ścigania

Przeczytaj także: SZOKUJĄCY: Coraz większa liczba oszustw związanych z kryptowalutami typu „rozbój świń”! Co powinieneś wiedzieć