Binance Square'de Chief Security Officer von Kraken: Betrüger nutzten Schlupflöcher, um fast 3 Millionen US-Dollar von Kraken-Konten abzuheben, Kundenvermögen wurden nicht kompromittiert

Odaily星球日报 · 2024-06-19T12:53:06.000Z

Odaily Planet Daily berichtete, dass Nick Percoco, Chief Security Officer von Kraken Exchange, einen Artikel über die Entdeckung einer „extrem schwerwiegenden“ Schwachstelle veröffentlichte, die es ihnen ermöglichte, das Guthaben auf unserer Plattform künstlich zu erhöhen. Kraken erhält täglich gefälschte Bug-Bounty-Berichte von Leuten, die sich als „Sicherheitsforscher“ ausgeben. Für jeden, der ein Bug-Bounty-Programm betreibt, ist das nichts Neues. Doch innerhalb weniger Minuten entdeckte Kraken eine isolierte Schwachstelle. Unter den richtigen Umständen kann ein böswilliger Angreifer eine Einzahlung auf der Plattform veranlassen und sich das Geld seinem Konto gutschreiben lassen, ohne die Einzahlung abzuschließen. Um es klar zu sagen: Das Vermögen der Kunden war nie gefährdet. Ein böswilliger Angreifer könnte jedoch für einen bestimmten Zeitraum effektiv Vermögenswerte von seinem Kraken-Konto stehlen. Kraken stufte die Schwachstelle als „kritisch“ ein und innerhalb einer Stunde (genauer gesagt 47 Minuten) entschärfte ein Expertenteam das Problem. Innerhalb weniger Stunden war das Problem vollständig behoben und trat nicht mehr auf. Nach einer gründlichen Untersuchung der Situation stellte sich schnell heraus, dass innerhalb weniger Tage drei Konten diese Sicherheitslücke ausgenutzt hatten. Weitere Untersuchungen ergaben, dass der KYC für eines der Konten jemandem gehörte, der behauptete, ein Sicherheitsforscher zu sein. Der „Sicherheitsforscher“ enthüllte die Sicherheitslücke zwei anderen Personen, mit denen er zusammenarbeitete, die letztendlich auf betrügerische Weise fast 3 Millionen US-Dollar von Kraken-Konten abzogen, Geld, das aus Kraken-Fonds und nicht aus anderen Kundenvermögen stammte. Im Sinne der Transparenz hat Kraken diese Schwachstelle heute gegenüber der Branche offengelegt.

Odaily Planet Daily, Kraken Exchange'in baş güvenlik sorumlusu Nick Percoco'nun, platformumuzdaki dengeyi yapay olarak artırmalarına olanak tanıyan "son derece ciddi" bir güvenlik açığı keşfedilmesiyle ilgili bir makale yayınladığını bildirdi. Kraken her gün "güvenlik araştırmacısı" olduğunu iddia eden kişilerden sahte hata ödülü raporları alıyor. Bu, hata ödül programı yürüten herkes için yeni bir şey değil. Ancak birkaç dakika içinde Kraken izole edilmiş bir güvenlik açığını keşfetti. Doğru koşullar altında, kötü niyetli bir saldırgan platformda para yatırma işlemi başlatabilir ve para yatırma işlemini tamamlamadan paranın kendi hesabına aktarılmasını sağlayabilir. Açık olmak gerekirse, müşterilerin varlıkları hiçbir zaman risk altında değildi. Ancak kötü niyetli bir saldırgan belirli bir süreliğine Kraken hesabındaki varlıkları etkili bir şekilde çalabilir. Kraken bu güvenlik açığını "kritik" olarak sınıflandırdı ve bir saat içinde (tam olarak 47 dakika) uzmanlardan oluşan bir ekip sorunu hafifletti. Birkaç saat içinde sorun tamamen çözüldü ve bir daha yaşanmadı. Durumu iyice araştırdıktan sonra, birkaç gün içinde 3 hesabın bu güvenlik açığından yararlandığı keşfedildi. Daha ayrıntılı araştırmalar, hesaplardan birinin KYC'sinin güvenlik araştırmacısı olduğunu iddia eden birine ait olduğunu ortaya çıkardı. "Güvenlik araştırmacısı" bu güvenlik açığını, birlikte çalıştığı diğer iki kişiye açıkladı ve bu kişiler, diğer müşteri varlıklarından ziyade Kraken fonlarından gelen para olan Kraken hesaplarından hileli bir şekilde yaklaşık 3 milyon dolar çekti. Şeffaflık ruhuyla Kraken, bu güvenlik açığını bugün sektöre açıkladı.

İçerik Üreticisinden Daha Fazla İçerik Keşfedin

En Son Haberler