Sàn giao dịch Kraken có trụ sở tại Hoa Kỳ đã mất gần 3 triệu đô la trong kho bạc sau khi một công ty bảo mật giấu tên khai thác một lỗi trên nền tảng của nó. Giám đốc an ninh, Nick Percoco, đã tiết lộ điều này trong một bài đăng trên X, nói rằng công ty bảo mật đã từ chối trả lại tiền và hiện đang yêu cầu khoản thanh toán cao hơn như một khoản tiền thưởng.

Cũng đọc: Sàn giao dịch tiền điện tử DMM Bitcoin thề sẽ hoàn trả cho người dùng sau vụ hack 300 triệu USD

Đáp lại, Kraken đã chuyển vấn đề lên các cơ quan thực thi pháp luật và sẽ coi đó là tội phạm. Tuy nhiên, người dùng không phải lo lắng vì sàn giao dịch tuyên bố họ đã giải quyết lỗ hổng và không có tài khoản người dùng nào bị ảnh hưởng.

Lỗi Kraken cho phép in tiền

Theo Percoco, một nhà nghiên cứu bảo mật đã cảnh báo Kraken về một lỗi nghiêm trọng thông qua chương trình Bug Bounty của họ vào ngày 9 tháng 6. Sau khi điều tra nội bộ, nhóm bảo mật sàn giao dịch đã phát hiện ra một lỗ hổng có thể cho phép kẻ xấu gửi tiền vào tài khoản Kraken của họ và nhận tiền mà không hoàn thành việc gửi tiền. Kẻ tấn công độc hại có thể in ra hàng triệu bản in từ không khí thông qua cách khai thác này.

Anh ấy đã giải thích:

“Chúng tôi đã phát hiện ra một lỗi riêng biệt. Điều này cho phép kẻ tấn công độc hại, trong những trường hợp thích hợp, bắt đầu gửi tiền vào nền tảng của chúng tôi và nhận tiền vào tài khoản của họ mà không cần hoàn thành đầy đủ khoản tiền gửi.”

Nhóm bảo mật nội bộ đã khắc phục sự cố trong vòng 47 phút và khắc phục hoàn toàn sau vài giờ. Tuy nhiên, công ty đã phát hiện ra rằng lỗi này xuất phát từ một thay đổi gần đây trong UX, cho phép tài khoản khách hàng được ghi có trước khi tài sản của họ bị xóa. Mặc dù thay đổi đã được tích hợp để cho phép giao dịch tức thời nhưng nó chưa được kiểm tra đầy đủ trước loại rủi ro này.

Tuy nhiên, Percoco nói thêm rằng sự cố không ảnh hưởng đến tài sản của người dùng và việc khai thác lỗ hổng chỉ ảnh hưởng đến kho bạc Kraken.

Các nhà nghiên cứu bảo mật là tội phạm

Trong khi đó, phân tích về lỗ hổng cho thấy ba tài khoản đã khai thác lỗ hổng và một trong những tài khoản đó đã được đăng ký dưới tên của nhà nghiên cứu bảo mật, người ban đầu liên hệ với sàn giao dịch.

Cũng đọc: Kraken cân nhắc hủy niêm yết USDT để đáp ứng các quy định mới của EU

Trong khi tài khoản của nhà nghiên cứu chỉ sử dụng lỗ hổng này để ghi có 4 USD, đủ để chứng minh lỗi này là có thật thì hai tài khoản còn lại đã rút gần 3 triệu USD từ tài khoản Kraken của họ bằng cách sử dụng cùng một cách khai thác. Điều thú vị là những tài khoản này được liên kết với các cộng sự của nhà nghiên cứu bảo mật.

Kraken giải thích rằng nỗ lực lấy lại số tiền của họ đã vô ích vì các nhà nghiên cứu hiện đang yêu cầu khoản thanh toán cao hơn mà họ tin là tương xứng với rủi ro xảy ra lỗi.

Percoco mô tả đây là một hành động tống tiền, mâu thuẫn với nguyên tắc đằng sau chương trình Bug Bounty. Ông nói thêm rằng việc vi phạm các quy tắc cấp giấy phép hack cho hacker mũ trắng sẽ khiến các nhà nghiên cứu bảo mật trở thành tội phạm và sàn giao dịch đang đối xử với họ như vậy.