Giám đốc an ninh của Kraken tiết lộ rằng một lỗi trong hệ thống cấp vốn của sàn giao dịch đã dẫn đến khoản lỗ 3 triệu USD sau khi bị các nhà nghiên cứu bảo mật lừa đảo khai thác.
Sàn giao dịch tiền điện tử Kraken của Mỹ đã mất số tiền điện tử trị giá khoảng 3 triệu USD vào đầu tháng 6 sau khi một “nhà nghiên cứu bảo mật” lừa đảo khai thác một lỗi trong hệ thống cấp vốn của sàn giao dịch. Giám đốc an ninh của Kraken, Nick Percoco, đã tiết lộ vụ việc theo chủ đề X, nhấn mạnh sự vi phạm các tiêu chuẩn đạo đức của các cá nhân liên quan.
Hàng ngày chúng tôi nhận được báo cáo tiền thưởng lỗi giả mạo từ những người tự xưng là “nhà nghiên cứu bảo mật”. Điều này không có gì mới đối với những người điều hành chương trình tiền thưởng lỗi. Tuy nhiên, chúng tôi đã xử lý vấn đề này một cách nghiêm túc và nhanh chóng tập hợp một nhóm chức năng chéo để tìm hiểu vấn đề này. Đây là những gì chúng tôi tìm thấy.
- Nick Percoco (@c75) Ngày 19 tháng 6 năm 2024
Theo Percoco, nhóm lần đầu tiên nhận được thông báo từ một “nhà nghiên cứu bảo mật” về một lỗi tiềm ẩn vào ngày 9 tháng 6. Sau đó, nhóm đã tìm thấy “lỗ hổng xuất phát từ một thay đổi UX gần đây” sẽ cho phép ghi có tài khoản khách hàng trước tài sản của họ được xóa, cho phép khách hàng giao dịch thị trường tiền điện tử một cách hiệu quả trong thời gian thực. Kraken CSO thừa nhận sàn giao dịch đã không kiểm tra thay đổi UX đối với vectơ tấn công cụ thể đó trước cuộc tấn công.
Percoco viết: “Thay đổi UX này chưa được kiểm tra kỹ lưỡng đối với phương thức tấn công cụ thể này”.
Bạn cũng có thể quan tâm: Kraken lại yêu cầu bác bỏ vụ kiện của SEC, trích dẫn từ ngữ không chính xác
Sau khi vá lỗ hổng, Kraken phát hiện ra rằng ba tài khoản trước đó đã khai thác lỗ hổng tương tự trong vòng vài ngày với nhau. Percoco cho biết, thay vì báo cáo lỗi trực tiếp, nhà nghiên cứu bảo mật này được cho là đã chia sẻ thông tin với hai cộng sự và nói thêm rằng những cá nhân không rõ danh tính cuối cùng đã rút gần 3 triệu USD từ kho bạc của Kraken.
Percoco chỉ ra rằng báo cáo ban đầu từ “nhà nghiên cứu bảo mật” đã không tiết lộ đầy đủ lỗi, vì vậy nhóm phải xác nhận lại một số chi tiết để tiến hành khen thưởng họ vì đã xác định thành công lỗ hổng bảo mật.
Kraken yêu cầu tài khoản đầy đủ về các hoạt động của họ, bằng chứng về khái niệm và hoàn trả số tiền đã rút. Tuy nhiên, các cá nhân đã từ chối tuân thủ, điều mà Percoco mô tả là “không phải hack mũ trắng” mà là “tống tiền”. Hiện vẫn chưa rõ liệu Kraken có xác định được tất cả những kẻ tấn công hay có thể lấy lại được số tiền bị đánh cắp hay không.
Đọc thêm: Sàn giao dịch tiền điện tử Kraken hướng tới huy động 100 triệu USD trước IPO