Postarea Crypto Exchange Kraken pierde 3 milioane de dolari din cauza unei defecțiuni de securitate exploatate appeared first on Coinpedia Fintech News
Cea mai importantă platformă de tranzacționare criptografică din lume, Kraken a recunoscut recent că a căzut victima unui atac care a folosit cu succes o vulnerabilitate zero-day pentru a fura criptomonede în valoare de milioane.
Exploata dezvăluită
Kraken a primit un e-mail de la cercetătorul său Bug Bounty pe 9 iunie 2024, care l-a alertat despre o vulnerabilitate gravă în rețea. Defectul i-a permis unui atacator să manipuleze cifrele bilanțului de pe site la un nivel care nu este susținut de fonduri reale, așa cum a explicat șeful de securitate al Kraken, Nick Percoco.
Această vulnerabilitate critică a permis atacatorului să facă depuneri și să retragă bani din contul său, în timp ce încă nu a finalizat procesul de depunere.
Răspuns rapid, dar nu suficient de rapid
Kraken a reușit să răspundă la alertă și să elimine problema de securitate în 47 de minute. Problema a fost urmărită de o nouă interfață cu utilizatorul introdusă cu ceva timp în urmă, care le-a permis clienților să facă depozite și să utilizeze banii înainte ca depozitele să fie identificate de casa de compensare, dacă este vreodată.
În timp ce Kraken a declarat că nu s-au pierdut banii clienților în timpul infiltrării, bug-ul a făcut posibil ca persoanele cu intenții rele să depună și să retragă numerar fals.
În acest caz, trei conturi au început să încerce mișcarea identică în decurs de o săptămână și toate au încercat să transfere 3 milioane de dolari din schimb. Dintre acestea, un cont a fost deținut de cercetătorul de securitate care a raportat recent această eroare.
În ceea ce privește prima vulnerabilitate identificată, Percoco a comentat că o persoană care și-a propus să o exploateze a investit 4 dolari în cripto pentru a ilustra problema și ar putea fi suficient pentru un raport de recompensă de erori și o recompensă ulterioară. Cu toate acestea, cercetătorul a decis să ofere detalii despre bug altor doi participanți, în mod colectiv, care au reușit să fure aproape 3 milioane de dolari din trezoreriile Kraken.
Dilemă etică sau extorcare?
Când Kraken i-a abordat pe indivizi pentru a returna fondurile furate și a furniza o exploatare de tip proof-of-concept (PoC), cercetătorii au cerut plata în schimbul returnării activelor. Percoco a condamnat acest comportament drept extorcare, subliniind că a încălcat principiile etice ale hacking-ului cu pălărie albă.
Kraken tratează incidentul ca pe un caz penal și se coordonează cu agențiile de aplicare a legii
Citește și: ȘOCANT: Înșelătoriile cripto „măcelărirea porcilor” sunt în creștere! Ce ar trebui sa stii