Сообщение Криптовалютная биржа Kraken теряет 3 миллиона долларов из-за уязвимости безопасности впервые появилась на Coinpedia Fintech News

Ведущая в мире криптовалютная торговая платформа Kraken недавно признала, что стала жертвой атаки, которая успешно использовала уязвимость нулевого дня для кражи криптовалюты на миллионы.

Эксплойт раскрыт

9 июня 2024 года компания Kraken получила электронное письмо от исследователя Bug Bounty, в котором сообщалось о серьезной уязвимости в сети. Уязвимость позволила злоумышленнику манипулировать показателями баланса на сайте до уровня, не подкрепленного реальными средствами, как объяснил директор службы безопасности Kraken Ник Перкоко. 

Эта критическая уязвимость позволяла злоумышленнику вносить депозиты и снимать деньги со своего счета, еще не завершив процесс внесения депозита.

Быстрый ответ, но недостаточно быстрый

Kraken смог отреагировать на предупреждение и устранить проблему безопасности в течение 47 минут. Проблема возникла из-за нового пользовательского интерфейса, представленного некоторое время назад, который позволял клиентам вносить депозиты и использовать деньги до того, как депозиты были идентифицированы клиринговой палатой, если вообще когда-либо. 

Хотя Kraken заявил, что ни одна наличность клиентов не была потеряна во время проникновения, ошибка позволила людям с недобрыми намерениями вносить и снимать фальшивые деньги.

В этом случае три аккаунта начали предпринимать одинаковые действия в течение недели, и все они пытались вывести с биржи по 3 миллиона долларов. Из них одна учетная запись принадлежала исследователю безопасности, который недавно сообщил об этой ошибке.

Что касается первой выявленной уязвимости, Percoco отметил, что человек, который намеревался ее использовать, вложил 4 доллара в криптовалюту, чтобы проиллюстрировать проблему, и этого может быть достаточно для отчета о награде за обнаружение ошибки и последующего вознаграждения. Однако исследователь решил сообщить подробности об ошибке двум другим участникам, которые вместе смогли украсть почти 3 миллиона долларов из сокровищницы Кракена.

Этическая дилемма или вымогательство?

Когда Kraken обратился к этим лицам с просьбой вернуть украденные средства и предоставить эксплойт для проверки концепции (PoC), исследователи потребовали оплату в обмен на возврат активов. Percoco осудил такое поведение как вымогательство, подчеркнув, что оно нарушает этические принципы белого хакерства.

Kraken рассматривает инцидент как уголовное дело и координирует действия с правоохранительными органами.

Читайте также: ШОК: Крипто-мошенничество с «забоем свиней» растет! То, что вы должны знать