Директор по безопасности криптовалютной биржи Kraken Ник Перкоко поделился публикацией в социальной сети X, сообщив, что 9 июня от исследователя безопасности было получено предупреждение программы Bug Bounty. В предупреждении, полученном по электронной почте, не содержалось конкретных подробностей, но упоминалось об обнаружении «чрезвычайно критической» уязвимости, которая потенциально может искусственно раздуть баланс платформы.
Kraken обнаружил и устранил уязвимость, которая могла позволить злоумышленнику потенциально получить средства на свой счет, не завершив полный процесс внесения депозита. Проблема возникла из-за недавнего обновления пользовательского интерфейса (UX), которое позволяло зачислять средства на клиентские счета до полной очистки их активов, что облегчало торговлю на рынках криптовалют в реальном времени. Это конкретное изменение UX не было должным образом протестировано против таких потенциальных векторов атак.
Кроме того, было обнаружено, что три аккаунта воспользовались этой уязвимостью за короткий промежуток времени. В ходе тщательного расследования было установлено, что одна из этих учетных записей принадлежала исследователю безопасности, который первоначально обнаружил ошибку в системе и сообщил о ней.
Позже «исследователь безопасности» поделился подробностями этой ошибки с двумя коллегами. Вместе этим трем счетам удалось вывести почти 3 миллиона долларов со счетов Kraken, в частности из казначейств Kraken, а не из клиентских активов. После того, как Kraken обратился к исследователям безопасности, чтобы обсудить вознаграждение их за обнаружение уязвимости в рамках программы Bug Bounty, исследователи отказались возвращать какие-либо средства до тех пор, пока биржа не оценит потенциальные финансовые последствия ошибки, если о ней не будет сообщено.
Ник Перкоко подчеркнул, что инцидент был воспринят как вымогательство, а не как законная хакерская деятельность, хотя он не раскрыл название задействованной исследовательской фирмы. Он также отметил, что Kraken рассматривает подобный инцидент как уголовное дело и намерен при необходимости сотрудничать с правоохранительными органами.
Чтобы внести ясность: ни один актив клиента никогда не подвергался риску. Однако злоумышленник может эффективно распечатать активы в своей учетной записи Kraken в течение определенного периода времени.
– Ник Перкоко (@c7five), 19 июня 2024 г.
Программа Kraken Bug Bounty защищает пользователей криптовалюты и подтверждает 22 сообщения в 2023 году
Kraken позволяет торговать криптовалютами против бумажных валют. Кроме того, он предлагает услуги по торговле криптовалютными деривативами и фьючерсами. По данным CoinMarketCap, Kraken занимает шестую позицию среди мировых криптовалютных бирж со средним ежедневным объемом торгов около 741 миллиона долларов.
Программа Bug Bounty поддерживает миссию Kraken по защите пользователей на рынке криптовалют. Kraken обязуется воздерживаться от судебных исков против исследователей безопасности, которые соблюдают все политики Kraken Bug Bounty. Заявки на участие в инициативе проходят проверку Kraken, при этом выплаты определяются в зависимости от серьезности ошибки и выплачиваются в BTC. В 2023 году программа признала 22 отчета из 461 поданного.
Сообщение Криптовалютную биржу Kraken шантажировали после отчета об обнаружении ошибок и изъятия 3 миллионов долларов из казначейских активов впервые появилось на Metaverse Post.
