Головний офіцер безпеки криптовалютної біржі Kraken, Нік Перкоко, повідомив про отримання попередження про наявність "вкрай критичної" вразливості в системі, яка могла штучно збільшити баланс платформи. 🚨
Вразливість, яку виявили та усунули у Kraken, дозволяла зловмисникам отримувати кошти на свій рахунок без повного процесу депозиту. Проблема виникла після оновлення інтерфейсу користувача, яке дозволяло зараховувати кошти на рахунки клієнтів до повного проходження їх активів.
Було виявлено, що три облікові записи використовували цю вразливість в короткий проміжок часу. Один із цих облікових записів належав досліднику безпеки, який спочатку виявив помилку в системі і повідомив про неї. Ці три облікові записи змогли вивести майже $3 мільйони з облікових записів Kraken.
Після звернення Kraken до дослідників безпеки з пропозицією винагородити їх за виявлення вразливості, дослідники відмовилися повертати кошти доти, доки біржа не оцінить потенційну фінансову шкоду від помилки.
За словами Перкоко, цей інцидент сприймається як здирство, а не як законна діяльність білих хакерів. Він наголосив, що Kraken розглядає такий інцидент як кримінальну справу і має намір співпрацювати з правоохоронними органами.
Програма Bug Bounty підтримує місію Kraken із забезпечення безпеки користувачів на ринку криптовалют. У 2023 році програма визнала 22 звіти із загальної кількості 461 заявки. 💼