Kraken, криптовалютная биржа, недавно сообщила о краже почти 3 миллионов долларов со своих счетов из-за критической ошибки. Проблема, возникшая из-за ошибки, обнаруженной в недавнем обновлении пользовательского интерфейса, позволяла злоумышленникам пополнять свои счета до того, как их депозиты были полностью очищены.

Обнаружение ошибки

Эта уязвимость была отмечена как позволяющая злоумышленникам «распечатывать активы» на временный период. По словам директора службы безопасности Kraken Ника Перкоко, нарушение безопасности было локализовано через несколько часов после его обнаружения.

Впервые об ошибке было обращено внимание Kraken в рамках программы вознаграждений за ошибки 9 июня. Хотя в первоначальном отчете не было подробной информации, это побудило Kraken немедленно начать расследование.

В ходе расследования был выявлен единичный инцидент, когда злоумышленник мог инициировать неполный депозит для мошеннического получения средств. В Percoco пояснили, что уязвимость возникла при определенных условиях и не подвергала активы клиента непосредственной опасности.

Kraken сообщает, что его эксплуатировали на X

Последующие проверки целостности системы показали, что незадолго до официального сообщения об ошибке уязвимость использовалась тремя отдельными учетными записями. С этих счетов удалось вывести значительные суммы в ходе серии транзакций, которые по совпадению произошли в течение нескольких дней.

Percoco сообщила, что человек, сообщивший об ошибке, первоначально протестировал ее, пополнив свой счет на 4 доллара, предположительно, чтобы продемонстрировать существование ошибки и получить вознаграждение в рамках программы вознаграждений за ошибки.

Однако позже выяснилось, что этот человек поделился подробностями уязвимости с двумя коллегами вместо того, чтобы сохранить их в тайне. Затем эти сотрудники вывели из Kraken в общей сложности почти 3 миллиона долларов непосредственно из резервов компании.

В Percoco подчеркнули, что эти средства поступили не со счетов других клиентов. В ответ на этот инцидент Kraken потребовал полного отчета о своей деятельности и возврата украденных средств.

Обвиняемые стороны, однако, удержали средства, потребовав, чтобы Kraken сначала раскрыл потенциальные масштабы эксплойта, если бы он остался нераскрытым.

Ответ Kraken и судебные иски

Ситуация обострилась, когда исследователи назвали требования Kraken о возврате средств «необоснованными» и «непрофессиональными».

В результате Kraken предпочел не называть публично имя причастной исследовательской фирмы, сославшись на нарушение условий вознаграждения за обнаружение ошибок и назвав их действия не только неэтичными, но и преступными.

В настоящее время биржа координирует свои действия с правоохранительными органами, чтобы рассмотреть этот вопрос как уголовное дело, отказываясь от любого признания причастной к этому фирмы из-за их действий.

Это прискорбное событие в Kraken усугубляет более широкую картину уязвимостей цифровых активов, поскольку в 2024 году ожидается рост числа взломов криптовалют.

Распределение криптопотерь по уязвимостям

Согласно «Отчету Crypto HackHub за 2024 год» от Merkle Science, только в первом квартале 2024 года хакеры украли цифровые активы на сумму 542,7 миллиона долларов, что на 42% больше, чем за тот же период в 2023 году.

В отрасли отмечается изменение характера этих нарушений безопасности: утечки закрытых ключей теперь вытесняют эксплойты смарт-контрактов в качестве основной причины. Эта тенденция резко контрастирует с предыдущими годами, когда уязвимости в смарт-контрактах были более доминирующими.

В отчете также отмечается значительное снижение потерь из-за уязвимостей смарт-контрактов, которые упали на 92% до 179 миллионов долларов в 2023 году по сравнению с 2,6 миллиарда долларов в 2022 году. Несмотря на это, более 55% взломанных цифровых активов в 2023 году были связаны с закрытым ключом. утечки, подчеркивающие постоянную проблему безопасности в секторе криптовалют.

За последние 13 лет отрасль столкнулась с 785 зарегистрированными взломами и эксплойтами, в результате которых было потеряно почти 19 миллиардов долларов, что указывает на острую необходимость улучшения мер безопасности по всем направлениям.

Сообщение «Хакеры воспользовались ошибкой Kraken и украли почти 3 миллиона долларов» впервые появилось на Coinfomania.