Криптовалютна біржа Kraken нещодавно повідомила про крадіжку майже 3 мільйонів доларів з її рахунків через критичну помилку. Проблема, яка випливає з недоліку, представленого в нещодавньому оновленні взаємодії з користувачем, дозволяла зловмисникам поповнювати їхні рахунки до того, як їхні депозити були повністю очищені.
Відкриття Бугу
Ця вразливість була позначена як така, що дозволяє зловмисним користувачам «друкувати ресурси» протягом тимчасового періоду. Пролом у безпеці було локалізовано протягом кількох годин після його виявлення, як заявив головний спеціаліст служби безпеки Kraken Нік Перкоко.
Про помилку вперше повідомили Kraken через програму винагороди за помилки 9 червня. Хоча в початковому звіті бракувало детальної інформації, Kraken спонукав до негайного розслідування.
Це розслідування виявило одиничний інцидент, коли зловмисник міг ініціювати неповний депозит для шахрайського отримання коштів. Percoco уточнив, що вразливість виникла за певних умов і не створювала безпосереднього ризику активи клієнта.
Kraken повідомляє, що його використовували на X
Подальші розслідування цілісності системи показали, що вразливість використовувалася трьома різними обліковими записами незадовго до офіційного повідомлення про помилку. З цих рахунків вдалося викачати значні суми в серії транзакцій, які випадково відбувалися протягом кількох днів.
Перкоко повідомив, що особа, яка повідомила про помилку, спочатку перевірила недолік, поповнивши свій обліковий запис 4 долари, нібито щоб продемонструвати існування помилки та отримати винагороду через програму баунті.
Однак згодом з’ясувалося, що ця особа поділилася деталями уразливості з двома колегами замість того, щоб зберегти її конфіденційною. Потім ці співробітники вилучили з Kraken майже 3 мільйони доларів безпосередньо з резервів компанії.
Перкоко підкреслив, що ці кошти не були з рахунків інших клієнтів. У відповідь на цей інцидент Kraken зажадав повного звіту про свою діяльність і повернення вкрадених коштів.
Однак обвинувачені сторони затримали кошти, вимагаючи від Kraken спочатку розкрити потенційний масштаб експлойту, якби він залишився нерозкритим.
Відповідь Kraken і судові дії
Ця ситуація загострилася, коли дослідники назвали запити Kraken про повернення коштів «нерозумними» та «непрофесійними».
У результаті Kraken вирішила публічно не називати залучену дослідницьку компанію, пославшись на порушення умов винагороди за помилки та назвавши їхні дії не лише неетичними, але й злочинними.
Зараз біржа координує дії з правоохоронними органами, щоб розглядати це питання як кримінальну справу, відкидаючи будь-яке визнання фірми, причетної до їхніх дій.
Ця нещасна подія в Kraken доповнює ширшу картину вразливостей цифрових активів, і кількість криптозломів зросте у 2024 році.
Розподіл втрат криптовалюти за вразливістю
Згідно зі звітом Merkle Science «2024 Crypto HackHub Report», лише в першому кварталі 2024 року хакери викрали цифрові активи на 542,7 мільйона доларів, що на 42% більше, ніж за той самий період 2023 року.
Галузь відзначила зміну характеру цих порушень безпеки, причому витоки приватних ключів тепер випереджають використання смарт-контрактів як головну причину. Ця тенденція різко контрастує з попередніми роками, коли вразливі місця в смарт-контрактах були більш домінуючими.
У звіті також підкреслюється значне зменшення збитків через уразливості смарт-контрактів, які впали на 92% до 179 мільйонів доларів у 2023 році порівняно з 2,6 мільярда доларів у 2022 році. Незважаючи на це, понад 55% зламаних цифрових активів у 2023 році були пов’язані з закритим ключем. витоків, що підкреслює постійну проблему безпеки в секторі криптовалют.
За останні 13 років індустрія зіткнулася з 785 повідомленнями про зломи та експлойти з втратою майже 19 мільярдів доларів, що вказує на критичну потребу в покращенні заходів безпеки в усіх напрямках.
Повідомлення Хакери, використавши помилку Kraken, викрали майже 3 мільйони доларів, вперше з’явилося на Coinfomania.
