Kraken виявляє помилку, яка дозволила шахраям «дослідників безпеки» використати 3 мільйони доларів

Американська біржа Kraken втратила майже 3 мільйони доларів у своїй скарбниці після того, як неназвана охоронна компанія використала помилку на її платформі. Головний офіцер служби безпеки Нік Перкоко оголосив про це в дописі на X, заявивши, що охоронна фірма відмовилася повертати кошти і тепер вимагає більшої виплати як винагороду.

Читайте також: Crypto Exchange DMM Bitcoin обіцяє відшкодувати користувачам після злому 300 мільйонів доларів

У відповідь Kraken передав справу до правоохоронних органів і розглядатиме її як злочин. Однак користувачам не варто хвилюватися, оскільки біржа стверджує, що вже усунула вразливість, і жоден обліковий запис користувача не постраждав.

Помилка Kraken дозволяє друкувати гроші

За словами Percoco, дослідник безпеки попередив Kraken про критичну помилку через програму Bug Bounty 9 червня. Під час внутрішнього розслідування команда безпеки біржі виявила вразливість, яка могла дозволити зловмиснику ініціювати депозит на їхній рахунок Kraken і отримати кошти без завершення депозиту. Зловмисник міг надрукувати мільйони з повітря за допомогою цього експлойту.

Він пояснив:

«Ми виявили одиничний баг. Це дозволило зловмисникам за відповідних обставин ініціювати депозит на нашій платформі та отримати кошти на свій рахунок без повного завершення депозиту».

Команда внутрішньої безпеки пом’якшила проблему протягом 47 хвилин і повністю усунула її через кілька годин. Однак фірма виявила, що помилка виникла внаслідок нещодавньої зміни в UX, яка дозволяла кредитувати облікові записи клієнтів до того, як їхні активи очищаються. Хоча цю зміну було інтегровано, щоб увімкнути миттєву торгівлю, вона не була повністю перевірена на цей тип ризику.

Однак Перкоко додав, що інцидент не вплинув на активи користувачів, а використання вразливості вплинуло лише на скарбницю Kraken.

Дослідники безпеки є злочинцями

Тим часом аналіз вразливості виявив, що три облікові записи використовували недолік, і один із цих облікових записів був зареєстрований під ім’ям дослідника безпеки, який спочатку зв’язався з біржею.

Читайте також: Kraken розглядає можливість вилучення USDT з біржі у відповідь на нові правила ЄС

У той час як обліковий запис дослідника використовував недолік лише для того, щоб зарахувати собі 4 долари, достатньо, щоб довести, що помилка справжня, два інші облікові записи зняли майже 3 мільйони доларів зі своїх облікових записів Kraken, використовуючи той самий експлойт. Цікаво, що ці облікові записи були пов’язані зі спільниками дослідника безпеки.

Kraken пояснив, що його спроби повернути кошти були марними, оскільки дослідники зараз вимагають вищу плату, яка, на їхню думку, відповідає ризику помилки.

Перкоко назвав це актом вимагання, що суперечить принципам програми Bug Bounty. Він додав, що порушення тих правил, які дають хакерам білих капелюхів ліцензію на злом, робить дослідників безпеки злочинцями, і біржа розглядає їх як таких.