Kraken сказав, що сторонні дослідники безпеки виявили вразливість, яку усунула криптобіржа.
За словами Кракена, дослідники таємно вилучили майже 3 мільйони доларів і відмовилися повернути їх, не побачивши попередньо суму винагороди.
Kraken зазначив, що не буде виплачувати винагороду дослідникам, оскільки вони не дотримувалися правил програми.
Криптобіржа Kraken заявила, що «дослідники безпеки», які виявили вразливість на платформі, звернулися до «вимагання» після вилучення близько 3 мільйонів доларів із скарбниці біржі.
Нік Перкоко, керівник відділу безпеки Kraken, повідомив у дописі на платформі соціальних мереж X (раніше Twitter), що 9 червня компанія отримала сповіщення про «програму винагороди за помилку» від дослідника безпеки про вразливість, яка дозволяє користувачам штучно завищувати свій баланс . Помилка «дозволила зловмисному зловмиснику за правильних обставин ініціювати депозит на нашій платформі та отримати кошти на свій рахунок без повного завершення депозиту», – додав Перкоко.
Оновлення безпеки Kraken: 9 червня 2024 року ми отримали сповіщення про програму Bug Bounty від дослідника безпеки. Спочатку не було розголошено ніяких подробиць, але їхній електронний лист стверджував, що вони виявили «надзвичайно критичну» помилку, яка дозволила їм штучно завищити свій баланс на нашій платформі.
— Нік Перкоко (@c7five) 19 червня 2024 р
Отримавши звіт, Kraken швидко вирішив проблему, і кошти користувачів не постраждали, зазначив Перкоко.
Те, що сталося після цього, викликало тривогу у команди Кракена.
Дослідник безпеки, виявивши помилку, нібито повідомив про неї ще двох осіб, які потім «шахрайським шляхом» зняли майже 3 мільйони доларів зі своїх рахунків Kraken. «Це було зі скарбниць Kraken, а не з активів інших клієнтів», — сказав Перкоко.
У початковому звіті про помилку не згадувалося про транзакції двох інших осіб, і коли Kraken попросив більше деталей про їхню діяльність, вони відмовилися.
«Натомість вони вимагали зв’язку зі своєю командою з розвитку бізнесу (тобто зі своїми торговими представниками) і не погоджувалися повертати кошти, доки ми не надамо припущену суму в доларах, яку могла спричинити ця помилка, якби вони її не розкрили. Це не біле. -злом шапки, це вимагання!" – написав Перкоко.
Програми винагороди за помилки, які використовуються багатьма компаніями для посилення своїх систем безпеки, запрошують сторонніх хакерів, відомих як «білі капелюхи», знайти вразливі місця, щоб компанія могла виправити їх, перш ніж зловмисники використають їх. Конкурент Kraken, Coinbase, має подібну програму, яка допомагає сповіщати про обмін уразливостями.
Щоб отримати винагороду, програма Kraken вимагає, щоб третя сторона виявила проблему, використала мінімальну суму, необхідну для підтвердження помилки, повернула активи та надала деталі вразливості, сказав Kraken у своєму блозі, додавши, що оскільки дослідники безпеки не дотрималися цих правил, вони не отримають винагороду.
«Ми добросовісно залучили цих дослідників і, відповідно до десятирічної роботи програми винагород за помилки, запропонували значну винагороду за їхні зусилля. Ми розчаровані цим досвідом і зараз працюємо з правоохоронними органами, щоб отримати активи цих дослідників безпеки», — сказав CoinDesk представник Kraken.
Докладніше: Вашому криптопроекту потрібен шериф, а не мисливець за головами
