Kraken раскрывает ошибку, позволившую мошенническим «исследователям безопасности» использовать 3 миллиона долларов

Американская биржа Kraken потеряла почти 3 миллиона долларов в своей казне после того, как неназванная охранная компания воспользовалась ошибкой в ​​ее платформе. Об этом сообщил начальник службы безопасности Ник Перкоко в сообщении на X, заявив, что охранная фирма отказалась вернуть средства и теперь требует более высокой выплаты в качестве награды.

Читайте также: Криптовалютная биржа DMM Bitcoin обещает выплатить компенсацию пользователям после взлома на 300 миллионов долларов

В ответ Кракен передал дело в правоохранительные органы и будет рассматривать его как преступление. Однако пользователям не о чем беспокоиться, поскольку биржа утверждает, что уже устранила уязвимость и ни одна учетная запись пользователя не пострадала.

Ошибка Kraken позволяет печатать деньги

По данным Percoco, 9 июня исследователь безопасности предупредил Kraken о критической ошибке через программу Bug Bounty. В ходе внутреннего расследования команда безопасности биржи обнаружила уязвимость, которая может позволить злоумышленнику инициировать депозит на их счет Kraken и получить средства без завершения депозита. С помощью этого эксплойта злоумышленник может напечатать миллионы из воздуха.

Он объяснил:

«Мы обнаружили единичную ошибку. Это позволило злоумышленнику при определенных обстоятельствах инициировать депозит на нашу платформу и получить средства на свой счет, не завершив депозит полностью».

Команда внутренней безопасности устранила проблему за 47 минут и полностью устранила ее через несколько часов. Однако фирма обнаружила, что ошибка возникла из-за недавнего изменения в ее пользовательском интерфейсе, которое позволяло зачислять средства на счета клиентов до очистки их активов. Хотя это изменение было интегрировано для обеспечения возможности мгновенной торговли, оно не было полностью протестировано на предмет риска этого типа.

Однако в Percoco добавили, что инцидент не затронул активы пользователей, а эксплойты уязвимости затронули только казну Kraken.

Исследователи безопасности — преступники

Между тем, анализ уязвимости показал, что эту уязвимость использовали три учетные записи, и одна из этих учетных записей была зарегистрирована на имя исследователя безопасности, который первоначально связался с биржей.

Читайте также: Kraken рассматривает возможность исключения USDT из листинга в ответ на новые правила ЕС

В то время как учетная запись исследователя использовала уязвимость только для того, чтобы зачислить себе 4 доллара, чего было достаточно, чтобы доказать реальность ошибки, два других аккаунта сняли почти 3 миллиона долларов со своих счетов Kraken, используя тот же эксплойт. Интересно, что эти учетные записи были связаны с сотрудниками исследователя безопасности.

Kraken объяснил, что его попытки вернуть средства оказались тщетными, поскольку исследователи теперь требуют более высокую оплату, которая, по их мнению, соизмерима с риском возникновения ошибки.

Percoco назвал это актом вымогательства, который противоречит принципам программы Bug Bounty. Он добавил, что нарушение тех правил, которые дают хакерам в белой шляпе лицензию на взлом, делает исследователей безопасности преступниками, и биржа относится к ним как к таковым.