Керівник служби безпеки Kraken виявляє, що зміна UX призвела до використання помилок на 3 мільйони доларів

Головний офіцер служби безпеки Kraken повідомив, що помилка в системі фінансування біржі призвела до збитків у розмірі 3 мільйонів доларів після того, як її використали дослідники безпеки-шахраї.

На початку червня американська криптобіржа Kraken втратила криптовалюти на суму близько 3 мільйонів доларів після того, як нечесний «дослідник безпеки» використав помилку в системі фінансування біржі. Головний офіцер служби безпеки Kraken Нік Перкоко оприлюднив інцидент у ланцюжку X, наголошуючи на порушенні етичних стандартів причетними особами.

Щодня ми отримуємо фальшиві звіти про баунті від людей, які заявляють, що вони «дослідники безпеки». Це не є новиною для тих, хто запускає програму винагороди за помилки. Однак ми поставилися до цього серйозно і швидко зібрали багатофункціональну команду для вивчення цієї проблеми. Ось що ми знайшли.

— Нік Перкоко (@c7five) 19 червня 2024 р

Згідно з Percoco, команда вперше отримала сповіщення від «дослідника безпеки» про можливу помилку 9 червня. Пізніше команда виявила «недолік, що походить від нещодавньої зміни UX», яка дозволяла кредитувати облікові записи клієнтів перед їх активами. очищення, що дозволяє клієнтам ефективно торгувати на криптовалютних ринках у режимі реального часу. CSO Kraken визнав, що біржа не тестувала зміни UX на цьому конкретному векторі атаки до атаки.

«Ця зміна UX не була ретельно перевірена на цей конкретний вектор атаки», — написав Перкоко.

Вам також може сподобатися: Kraken знову просить відхилити позов SEC, посилаючись на неправильне формулювання

Після виправлення вразливості Kraken виявив, що три облікові записи раніше використовували ту саму ваду з інтервалом у кілька днів. Замість того, щоб повідомити про помилку безпосередньо, дослідник безпеки нібито поділився інформацією з двома колегами, сказав Перкоко, додавши, що невідомі особи зрештою вилучили майже 3 мільйони доларів зі скарбниць Kraken.

Перкоко зазначив, що початковий звіт «дослідника безпеки» не повністю розкрив помилку, тому команді довелося повторно підтвердити деякі деталі, щоб продовжити роботу з винагородою за успішне виявлення недоліку безпеки.

Kraken вимагав повного звіту про свою діяльність, підтвердження концепції та повернення вилучених коштів. Однак особи відмовилися підкорятися, що Перкоко назвав «не хакерським хакерством», а скоріше «вимаганням». Залишається незрозумілим, чи Kraken ідентифікував усіх зловмисників чи вдалося повернути вкрадені кошти.

Докладніше: Криптобіржа Kraken очікує збільшення 100 мільйонів доларів до IPO