Kraken Crypto Exchage a lovit furtul 3M, exploatând un defect Zero Day:
Schimbul de criptografii Kraken a dezvăluit că un cercetător de securitate fără nume a exploatat o defecțiune „extrem de critică” de zero-day a platformei sale pentru a fura 3 milioane de dolari în active digitale și a refuzat să le returneze.
Detaliile incidentului au fost împărtășite de responsabilul șef al securității Kraken, Nick Percoco, pe X (fostul Twitter), declarând că a primit o alertă de program Bug Bounty despre o eroare care „le-a permis să-și umfle în mod artificial soldul pe platforma noastră” fără a împărtăși nicio altă problemă. detalii
Compania a declarat că a identificat o problemă de securitate în câteva minute de la primirea alertei care, în esență, i-a permis unui atacator „să inițieze o depunere pe platforma noastră și să primească fonduri în contul său fără a finaliza complet depunerea”.
În timp ce Kraken a subliniat că niciun activ client nu era expus riscului problemei, ar fi putut permite unui actor de amenințare să imprime active în conturile lor. Problema a fost rezolvată în 47 de minute, se spune.
De asemenea, a mai spus că defectul a provenit dintr-o modificare recentă a interfeței cu utilizatorul care le permite clienților să depună fonduri și să le folosească înainte de a fi eliminate.
În plus, investigațiile ulterioare au scos la iveală faptul că trei conturi, inclusiv unul aparținând presupusului cercetător de securitate, au exploatat defectul în câteva zile unul de celălalt și au sifonat 3 milioane de dolari.
„Această persoană a descoperit eroarea în sistemul nostru de finanțare și a folosit-o pentru a-și credita contul cu 4 USD în cripto,” a spus Percoco. „Acest lucru ar fi fost suficient pentru a dovedi defectul, pentru a depune un raport de recompensă pentru erori cu echipa noastră și pentru a colecta o recompensă foarte considerabilă în conformitate cu termenii programului nostru.”
„În schimb, „cercetătorul de securitate” a dezvăluit această eroare altor două persoane cu care lucrează, care au generat în mod fraudulos sume mult mai mari. În cele din urmă, au retras aproape 3 milioane de dolari din conturile Kraken. Aceasta a fost din trezoreriile Kraken, nu din alte active ale clienților.”
#BNBHODLer #BinanceTournament #AirdropGuide #BTCFOMCWatch #BTC
