Cách khắc phục nhanh của Kraken: Làm thế nào một lỗi nghiêm trọng gần như dẫn đến việc in tiền miễn phí trên sàn giao dịch

Kraken, sàn giao dịch tiền điện tử hàng đầu toàn cầu, gần đây đã phải đối mặt với một thách thức bảo mật nghiêm trọng. Nền tảng này đã được một nhà nghiên cứu bảo mật cảnh báo về một lỗ hổng nghiêm trọng có thể cho phép tạo tài sản kỹ thuật số trái phép. Sự cố này nhấn mạnh những thách thức đang diễn ra mà các nền tảng tài sản kỹ thuật số phải đối mặt trong việc duy trì các biện pháp bảo mật mạnh mẽ.

Khi nhận được thông báo, nhóm bảo mật của Kraken đã nhanh chóng điều tra vấn đề, phân biệt nó với các cảnh báo sai thông thường. Lỗi được xác định là đặc biệt nghiêm trọng—nó cho phép người dùng đăng ký tiền gửi và nhận tín dụng tương ứng vào tài khoản của họ mà không cần chuyển tiền thực tế. 

Lỗ hổng này, bắt nguồn từ một bản cập nhật trải nghiệm người dùng gần đây, ghi có tài khoản người dùng sớm trước khi xác nhận tiền gửi, gây ra rủi ro giả định về việc “in” tài sản kỹ thuật số một cách bất ngờ.

Ý nghĩa và hành động được thực hiện

Cuộc điều tra cho thấy chỉ có ba tài khoản khai thác lỗi này, trong đó có tài khoản của người tố giác. Mặc dù nhà nghiên cứu đã chứng minh cách khai thác bằng cách tạo ra một lượng tiền điện tử danh nghĩa nhưng họ đã không báo cáo chính thức điều này thông qua chương trình Bug Bounty của Kraken. 

Thay vào đó, họ tiết lộ phương pháp này cho hai bên khác, những người sau đó khai thác lỗ hổng này để trích xuất hàng triệu USD tiền điện tử, đỉnh điểm là số lần rút tiền trái phép với tổng trị giá khoảng 3 triệu USD.

Nick Percoco, giám đốc an ninh của Kraken, lưu ý thách thức trong việc xử lý tình huống do báo cáo ban đầu không đầy đủ, thiếu chi tiết giao dịch quan trọng. 

Cập nhật bảo mật Kraken: Vào ngày 9 tháng 6 năm 2024, chúng tôi đã nhận được cảnh báo về chương trình Bug Bounty từ một nhà nghiên cứu bảo mật. Ban đầu không có thông tin cụ thể nào được tiết lộ, nhưng email của họ tuyên bố đã tìm thấy một lỗi “cực kỳ nghiêm trọng” cho phép họ tăng số dư một cách giả tạo trên nền tảng của chúng tôi.

- Nick Percoco (@c75) Ngày 19 tháng 6 năm 2024

Cuộc đối thoại với các nhà nghiên cứu bị đình trệ khi họ yêu cầu một khoản tiền chuộc thay vì trả lại tiền, đề xuất thanh toán dựa trên thiệt hại tài chính tiềm tàng mà lỗi này có thể gây ra. 

Kraken, coi những yêu cầu này là tống tiền, đã từ chối công khai tên công ty bảo mật có liên quan và đang theo đuổi các hành động pháp lý, coi vấn đề này như một vụ án hình sự. Công ty trấn an người dùng rằng không có tài sản nào của khách hàng bị xâm phạm vào bất kỳ thời điểm nào.