Ofițerul șef de securitate al lui Kraken a dezvăluit că o eroare în sistemul de finanțare al bursei a dus la o pierdere de 3 milioane de dolari după ce a fost exploatată de cercetători de securitate necinstiți.

Bursa de criptomonede americană Kraken a pierdut în jur de 3 milioane de dolari din cripto la începutul lunii iunie, după ce un „cercetător de securitate” necinstite a exploatat o eroare în sistemul de finanțare al bursei. Ofițerul șef de securitate al lui Kraken, Nick Percoco, a dezvăluit incidentul într-un fir X, subliniind încălcarea standardelor etice de către persoanele implicate.

În fiecare zi primim rapoarte false de recompensă de erori de la oameni care pretind că sunt „cercetători în securitate”. Acest lucru nu este nou pentru nimeni care rulează un program de recompensă pentru erori. Cu toate acestea, am tratat acest lucru cu seriozitate și am adunat rapid o echipă interfuncțională pentru a analiza această problemă. Iată ce am găsit.

— Nick Percoco (@c7five) 19 iunie 2024

Conform Percoco, echipa a primit pentru prima dată o notificare de la un „cercetător de securitate” despre o potențială eroare pe 9 iunie. Mai târziu, echipa a găsit un „defect care derivă dintr-o modificare recentă a UX” care ar permite creditarea conturilor clienților înaintea activelor lor. compensate, permițând clienților să tranzacționeze în mod eficient piețele cripto în timp real. CSO Kraken a recunoscut că schimbul nu a testat schimbarea UX împotriva acelui vector de atac specific înainte de atac.

„Această schimbare UX nu a fost testată în detaliu împotriva acestui vector de atac specific”, a scris Percoco.

S-ar putea să vă placă și: Kraken cere din nou respingerea procesului SEC, invocând formularea incorectă

După ce a corectat vulnerabilitatea, Kraken a descoperit că trei conturi au exploatat anterior același defect la câteva zile unul de celălalt. În loc să raporteze eroarea direct, cercetătorul de securitate ar fi împărtășit informațiile cu doi asociați, a spus Percoco, adăugând că indivizii necunoscuți au retras în cele din urmă aproape 3 milioane de dolari din trezoreriile Kraken.

Percoco a subliniat că raportul inițial de la „cercetătorul de securitate” nu a dezvăluit pe deplin eroarea, așa că echipa a trebuit să reconfirme unele detalii pentru a progresa cu recompensarea acestora pentru identificarea cu succes a unui defect de securitate.

Kraken a cerut un raport complet al activităților lor, o dovadă a conceptului și returnarea fondurilor retrase. Cu toate acestea, indivizii au refuzat să se conformeze, lucru pe care Percoco a descris-o drept „nu piraterie cu pălărie albă”, ci mai degrabă „estorcare”. Rămâne neclar dacă Kraken a identificat toți atacatorii sau a reușit să recupereze fondurile furate.

Citește mai mult: Schimbul de criptografii Kraken are o creștere de 100 de milioane de dolari înainte de IPO