Kraken cho biết tin tặc đã chuyển sang 'tống tiền' sau khi khai thác lỗi với giá 3 triệu đô la

• Kraken cho biết các nhà nghiên cứu bảo mật của bên thứ ba đã tìm thấy một lỗ hổng và lỗ hổng này đã được sàn giao dịch tiền điện tử khắc phục.

• Kraken cho biết, các nhà nghiên cứu đã bí mật rút gần 3 triệu USD và từ chối trả lại mà không nhìn thấy số tiền thưởng trước.

• Kraken lưu ý rằng họ sẽ không trả tiền thưởng cho các nhà nghiên cứu vì họ không tuân theo các quy định của chương trình.

Sàn giao dịch tiền điện tử Kraken cho biết “các nhà nghiên cứu bảo mật” đã tìm thấy lỗ hổng trên nền tảng này đã chuyển sang “tống tiền” sau khi rút khoảng 3 triệu USD từ kho bạc của sàn giao dịch.

Nick Percoco, giám đốc an ninh của Kraken, cho biết trong một bài đăng trên nền tảng truyền thông xã hội X (trước đây là Twitter) rằng công ty đã nhận được cảnh báo về “chương trình tiền thưởng lỗi” từ một nhà nghiên cứu bảo mật vào ngày 9 tháng 6 về một lỗ hổng cho phép người dùng tăng số dư của họ một cách giả tạo. . Percoco cho biết thêm: “Lỗi này cho phép kẻ tấn công độc hại, trong những trường hợp thích hợp, bắt đầu gửi tiền vào nền tảng của chúng tôi và nhận tiền vào tài khoản của họ mà không cần hoàn thành đầy đủ khoản tiền gửi”.

Cập nhật bảo mật Kraken: Vào ngày 9 tháng 6 năm 2024, chúng tôi đã nhận được cảnh báo về chương trình Bug Bounty từ một nhà nghiên cứu bảo mật. Ban đầu không có thông tin cụ thể nào được tiết lộ, nhưng email của họ tuyên bố đã tìm thấy một lỗi “cực kỳ nghiêm trọng” cho phép họ tăng số dư một cách giả tạo trên nền tảng của chúng tôi.

- Nick Percoco (@c75) Ngày 19 tháng 6 năm 2024

Percoco lưu ý rằng khi nhận được báo cáo, Kraken đã nhanh chóng khắc phục sự cố và không có khoản tiền nào của người dùng bị ảnh hưởng.

Điều gì xảy ra sau khi đội của Kraken giương cờ đỏ.

Nhà nghiên cứu bảo mật, khi phát hiện ra lỗi, được cho là đã tiết lộ nó cho hai cá nhân khác, sau đó những người này đã "lừa đảo" rút gần 3 triệu USD từ tài khoản Kraken của họ. Percoco cho biết: “Đây là từ kho bạc của Kraken chứ không phải tài sản của khách hàng khác”.

Báo cáo lỗi ban đầu không đề cập đến giao dịch của hai cá nhân khác và khi Kraken hỏi thêm chi tiết về hoạt động của họ, họ đã từ chối.

"Thay vào đó, họ yêu cầu một cuộc gọi với nhóm phát triển kinh doanh của họ (tức là đại diện bán hàng của họ) và không đồng ý trả lại bất kỳ khoản tiền nào cho đến khi chúng tôi cung cấp số tiền suy đoán mà lỗi này có thể gây ra nếu họ không tiết lộ nó. Đây không phải là trắng trợn." -hack mũ, đó là tống tiền!" Percoco đã viết.

Các chương trình tiền thưởng lỗi – được nhiều công ty sử dụng để tăng cường hệ thống bảo mật của họ – mời các tin tặc bên thứ ba, được gọi là “mũ trắng”, tìm các lỗ hổng để công ty có thể sửa chúng trước khi kẻ xấu khai thác chúng. Đối thủ của Kraken, Coinbase, cũng có một chương trình tương tự để giúp cảnh báo các lỗ hổng trên sàn giao dịch.

Kraken cho biết trong một bài đăng trên blog rằng, để được trả tiền thưởng, chương trình của Kraken yêu cầu bên thứ ba tìm ra vấn đề, khai thác số tiền tối thiểu cần thiết để chứng minh lỗi, trả lại tài sản và cung cấp thông tin chi tiết về lỗ hổng. không tuân theo các quy tắc này, họ sẽ không nhận được tiền thưởng.

"Chúng tôi đã thu hút những nhà nghiên cứu này một cách thiện chí và, phù hợp với một thập kỷ thực hiện chương trình tiền thưởng lỗi, chúng tôi đã đưa ra một khoản tiền thưởng khá lớn cho những nỗ lực của họ. Chúng tôi thất vọng vì trải nghiệm này và hiện đang làm việc với các cơ quan thực thi pháp luật để lấy lại thông tin." tài sản từ các nhà nghiên cứu bảo mật này”, người phát ngôn của Kraken nói với CoinDesk.

Đọc thêm: Dự án tiền điện tử của bạn cần cảnh sát trưởng, không phải thợ săn tiền thưởng