Глава службы безопасности Kraken сообщает, что изменение пользовательского интерфейса привело к использованию уязвимости на 3 миллиона долларов

Директор службы безопасности Kraken сообщил, что ошибка в системе финансирования биржи привела к потере 3 миллионов долларов после того, как ею воспользовались мошеннические исследователи безопасности.

Американская биржа криптовалют Kraken потеряла криптовалюту на сумму около 3 миллионов долларов в начале июня после того, как мошеннический «исследователь безопасности» воспользовался ошибкой в ​​системе финансирования биржи. Начальник службы безопасности Kraken Ник Перкоко сообщил об инциденте в треде X, подчеркнув нарушение этических стандартов со стороны причастных к нему лиц.

Каждый день мы получаем фальшивые отчеты об обнаружении ошибок от людей, называющих себя «исследователями безопасности». Это не новость для тех, кто запускает программу вознаграждения за обнаружение ошибок. Однако мы отнеслись к этому серьезно и быстро собрали межфункциональную команду, чтобы разобраться в этом вопросе. Вот что мы нашли.

– Ник Перкоко (@c7five), 19 июня 2024 г.

По данным Percoco, команда впервые получила уведомление от «исследователя безопасности» о потенциальной ошибке 9 июня. Позже команда обнаружила «недостаток, возникший из-за недавнего изменения пользовательского интерфейса», который позволял кредитовать учетные записи клиентов перед их активами. очищены, что позволяет клиентам эффективно торговать на криптовалютных рынках в режиме реального времени. Руководитель службы безопасности Kraken признал, что биржа не проверяла изменение UX против этого конкретного вектора атаки перед атакой.

«Это изменение UX не было тщательно протестировано против этого конкретного вектора атаки», — написал Перкоко.

Вам также может быть интересно: Кракен снова просит отклонить иск SEC, ссылаясь на некорректную формулировку

После исправления уязвимости Kraken обнаружил, что три учетные записи ранее использовали одну и ту же уязвимость с разницей в несколько дней. Вместо того, чтобы напрямую сообщить об ошибке, исследователь безопасности якобы поделился информацией с двумя партнерами, сказал Перкоко, добавив, что неизвестные в конечном итоге вывели почти 3 миллиона долларов из казначейства Kraken.

Percoco отметил, что первоначальный отчет «исследователя безопасности» не полностью раскрыл ошибку, поэтому команде пришлось повторно подтвердить некоторые детали, чтобы продолжить вознаграждение за успешное обнаружение уязвимости безопасности.

Kraken запросил полный отчет об их деятельности, подтверждение концепции и возврат выведенных средств. Однако люди отказались подчиниться, что Перкоко назвал «не хакерством в белой шляпе», а скорее «вымогательством». Остается неясным, идентифицировал ли Kraken всех злоумышленников или сумел вернуть украденные средства.

Читать далее: Криптовалютная биржа Kraken планирует привлечь $100 млн перед IPO