Luare rapidă:
Ofițerul șef de securitate al Kraken, Nick Percoco, a declarat miercuri că 3 milioane de dolari au fost scoși din portofelele sale.
Bug-ul a permis oricui să inițieze o depunere pe platformă și să primească fondurile fără a o completa.
Percoco a spus că trei persoane conectate cu o companie nedezvăluită au refuzat să returneze fondurile până când Kraken a făcut publică dimensiunea potențială a exploatării.
CertiK și compania de schimb criptografic Kraken au fost implicate într-o dispută privind recompensele de erori în ultimele zile, conform materialului informativ dezvăluit de firma de securitate blockchain pe X.
CertiK a declarat, pe 5 iunie, că a găsit o vulnerabilitate în sistemul de depozit al Kraken, care a permis retragerea criptomonelor fabricate care ar putea fi convertite în cripto valide.
Firma de securitate cripto a depus 200 Matic pe 5 iunie înainte de a retrage 90.000 Matic două zile mai târziu. Apoi a făcut o depunere semnificativ mai mare înainte de a retrage o sumă și mai mare pe 9 iunie, a susținut firma printr-o postare pe X.
Sursa: Certik on X
Comentând rezultatul testului său pe X, CertiK a scris: „Schimbul Kraken a eșuat toate aceste teste, indicând că sistemul de apărare în profunzime al Kraken este compromis pe mai multe fronturi. Milioane de dolari pot fi depuse în ORICE cont Kraken.”
„O cantitate imensă de criptomonede fabricate (în valoare de peste 1 milion de dolari SUA) poate fi retrasă din cont și convertită în cripto-uri valide. Mai rău încă, nu au fost declanșate alerte în timpul perioadei de testare de mai multe zile. Kraken a răspuns și a blocat conturile de testare doar câteva zile după ce am raportat oficial incidentul.”
În răspunsul său, șeful de securitate al Kraken, Nick Percoco, a spus că compania sa a reușit să „tripare bug-ul” în decurs de o oră și 47 de minute, înainte de a remedia complet problema în câteva ore.
Descriind circumstanțele erorii, el a spus: „Echipa noastră a găsit un defect care derivă dintr-o modificare recentă a UX, care ar credita prompt conturile clienților înainte ca activele acestora să fie compensate – permițând clienților să tranzacționeze în mod eficient piețele cripto în timp real. Această modificare a UX nu a fost testată complet împotriva acestui vector de atac specific.”
Percoco a spus că investigațiile ulterioare au arătat că trei conturi au profitat deja din plin de eroare pentru a-și credita conturile cu 4 USD în cripto, ceea ce ar fi fost suficient pentru a depune un raport de recompensă pentru erori la echipa Kraken, câștigându-și o recompensă considerabilă din schimbul criptografic. program de recompensă pentru erori.
„În schimb, „cercetătorul de securitate” a dezvăluit această eroare altor două persoane cu care lucrează, care au generat în mod fraudulos sume mult mai mari. În cele din urmă, au retras aproape 3 milioane de dolari din conturile Kraken. Aceasta a fost din trezoreriile lui Kraken, nu din alte active ale clienților.”
După discuții pentru a depune raportul, astfel încât fondurile să poată fi returnate, cercetătorii au refuzat, a spus Percoco, marcând evenimentul drept „extorcare”.
CertiK a spus că, după conversiile inițiale de succes privind identificarea și remedierea vulnerabilității, echipa de operațiuni de securitate a Kraken a amenințat angajații individuali CertiK să ramburseze sumele cripto nepotrivite fără a le oferi un timp rezonabil sau adrese de rambursare.
Fii la curent cu lucrurile:
Abonați-vă la buletinul nostru informativ folosind acest link – nu vom trimite spam!
Urmărește-ne pe X și Telegram.
Postarea Firma de securitate cripto CertiK și Kraken în dispută privind recompensele de bug pe fondul scurgerii de 3 milioane USD a apărut prima pe NFTgators.