Повідомлення Crypto Exchange Kraken втратила 3 ​​мільйони доларів через використання недоліку безпеки вперше з’явилося на Coinpedia Fintech News

Провідна у світі криптовалютна торгова платформа Kraken нещодавно визнала, що стала жертвою атаки, яка успішно використала вразливість нульового дня для викрадення криптовалют на мільйони.

Розкритий експлойт

Kraken отримав електронний лист від свого дослідника Bug Bounty 9 червня 2024 року, який попередив його про серйозну вразливість у мережі. Порушення дозволило зловмиснику маніпулювати показниками балансу на сайті до рівня, який не підтримується фактичними коштами, як пояснив головний спеціаліст із безпеки Kraken Нік Перкоко. 

Ця критична вразливість дозволила зловмиснику робити депозити та знімати гроші зі свого рахунку, поки процес депозиту ще не завершився.

Швидка відповідь, але недостатньо швидка

Kraken зміг відреагувати на сповіщення та усунути проблему безпеки протягом 47 хвилин. Проблема була пов’язана з новим інтерфейсом користувача, представленим деякий час тому, який дозволяв клієнтам робити депозити та використовувати гроші до того, як депозити були ідентифіковані розрахунковою палатою, якщо взагалі були. 

Незважаючи на те, що Kraken заявив, що жодна готівка клієнтів не була втрачена під час проникнення, помилка дозволила людям з поганими намірами вносити та знімати підроблені гроші.

У цьому випадку три облікові записи почали спроби ідентичного кроку протягом тижня, і всі вони намагалися перевести 3 мільйони доларів з біржі. З них один обліковий запис належав досліднику безпеки, який нещодавно повідомив про цю помилку.

Що стосується першої виявленої вразливості, Percoco прокоментував, що особа, яка мала на меті використати її, інвестувала 4 долари в криптовалюту, щоб проілюструвати проблему, і цього може бути достатньо для звіту про помилку та подальшої винагороди. Однак дослідник вирішив передати деталі помилки двом іншим учасникам разом, які змогли вкрасти майже 3 мільйони доларів зі скарбниць Kraken.

Етична дилема чи вимагання?

Коли Kraken звернувся до осіб з вимогою повернути вкрадені кошти та надати експлойт для підтвердження концепції (PoC), дослідники вимагали оплати в обмін на повернення активів. Перкоко засудив таку поведінку як здирництво, підкресливши, що вона порушує етичні принципи білого хакерства.

Kraken розглядає інцидент як кримінальну справу та координує дії з правоохоронними органами

Читайте також: ШОКУЮЧО: шахрайства з криптографіями, які «різають свиней», зростають! Що ви повинні знати