Sàn giao dịch tiền điện tử Kraken của Hoa Kỳ gần đây đã tiết lộ rằng một hacker tự xưng là nhà nghiên cứu bảo mật đã khai thác một lỗ hổng nghiêm trọng trên nền tảng của nó để đánh cắp tài sản kỹ thuật số trị giá 3 triệu USD và đang "tống tiền" chúng. Nhà nghiên cứu đã báo cáo lỗ hổng này vào ngày 9 tháng 6, nhưng anh ta đã khai thác nó để rút tiền từ kho bạc của Kraken thay vì đảm bảo số tiền đó.
Cập nhật bảo mật Kraken: Vào ngày 9 tháng 6 năm 2024, chúng tôi đã nhận được cảnh báo về chương trình Bug Bounty từ một nhà nghiên cứu bảo mật. Ban đầu không có thông tin cụ thể nào được tiết lộ, nhưng email của họ tuyên bố đã tìm thấy một lỗi “cực kỳ nghiêm trọng” cho phép họ tăng số dư một cách giả tạo trên nền tảng của chúng tôi.
- Nick Percoco (@c75) Ngày 19 tháng 6 năm 2024
Giám đốc an ninh Kraken Nick Percoco tiết lộ rằng nhà nghiên cứu và hai tài khoản liên quan của ông đã khai thác lỗ hổng để rút hơn 3 triệu USD. Sau khi khai thác, các nhà nghiên cứu yêu cầu phần thưởng cho số tiền bị đánh cắp trước khi đồng ý trả lại số tiền đó. Percoco cho biết trong một bài đăng X ngày 19 tháng 6 rằng hành vi này không phải là hack mũ trắng mà là tống tiền.
Để đối phó với những sự cố này, Kraken nhấn mạnh rằng tiền điện tử bị đánh cắp đến từ kho bạc sàn giao dịch của nó và không có khoản tiền nào của người dùng bị ảnh hưởng.
Về vấn đề này, công ty kiểm toán bảo mật CertiK đã trực tiếp thừa nhận trên nền tảng X rằng nhà nghiên cứu lỗ hổng bảo mật mà Kraken nhắc tới chính là hacker mũ trắng của CertiK. CertiK lập luận rằng sau thành công ban đầu trong việc xác định và khắc phục lỗ hổng, nhóm hoạt động bảo mật của Kraken đã đe dọa từng nhân viên của CertiK phải hoàn trả số tiền điện tử không khớp trong một khoảng thời gian không hợp lý, thậm chí không cung cấp địa chỉ trả nợ.
CertiK gần đây đã xác định một loạt lỗ hổng nghiêm trọng trong sàn giao dịch @krakenfx có khả năng dẫn đến thua lỗ hàng trăm triệu đô la. Bắt đầu từ một phát hiện trong hệ thống tiền gửi của @krakenfx, nơi nó có thể không phân biệt được giữa các nội bộ khác nhau… pic.twitter.com/ JZkMXj2ZCD
- Chứng nhận (@CertiK) Ngày 19 tháng 6 năm 2024
Tuy nhiên, khi cộng đồng bắt đầu theo dõi sâu hơn vụ việc này, người ta phát hiện ra rằng sau khi kẻ tấn công lấy trộm tiền từ Kraken, anh ta đã thực sự gửi một số tiền vào một máy trộn. Đây dường như không phải là một hành vi bình thường đối với một chiếc mũ trắng sạch sẽ. Tin tặc.
chỉ đang thử nghiệm một số khoản tiền gửi bằng tiền mặt lốc xoáy sau khi thử nghiệm tính năng rút tiền kraken cần thiết để đảm bảo nó vẫn hoạt động pic.twitter.com/PL4zi7GzSW
- Spreek (@spreekaway) Ngày 19 tháng 6 năm 2024
Ngoài ra, thám tử on-chain 0xBoboShanti cũng chỉ ra rằng địa chỉ được một nhà nghiên cứu bảo mật của Certik công bố trước đây đã được phát hiện và thử nghiệm ngay từ ngày 27 tháng 5, điều này không phù hợp với tiến trình sự kiện bán buôn của Certik.
Vụ việc này vẫn chưa có kết luận nhưng xét từ tất cả các thông tin thì hướng gió nhìn chung khá bất lợi cho CertiK.
Bài viết này công ty kiểm toán nhất quyết đòi tự ăn trộm? Chứng chỉ bị buộc tội khai thác lỗ hổng Kraken Exchange và tống tiền độc hại xuất hiện đầu tiên trên Zombit.
