Bài viết Sàn giao dịch tiền điện tử Kraken mất 3 triệu USD do lỗ hổng bảo mật bị khai thác xuất hiện đầu tiên trên Coinpedia Fintech News

Nền tảng giao dịch tiền điện tử hàng đầu thế giới, Kraken gần đây đã thừa nhận họ trở thành nạn nhân của một cuộc tấn công đã tận dụng thành công lỗ hổng zero-day để đánh cắp tiền điện tử trị giá hàng triệu USD.

Khai thác được tiết lộ

Kraken đã nhận được email từ nhà nghiên cứu Bug Bounty vào ngày 9 tháng 6 năm 2024, trong đó cảnh báo về một lỗ hổng nghiêm trọng trong mạng. Lỗ hổng này cho phép kẻ tấn công thao túng các số liệu trong bảng cân đối kế toán trên trang web đến mức không được hỗ trợ bởi nguồn vốn thực tế như Giám đốc An ninh của Kraken, Nick Percoco đã giải thích. 

Lỗ hổng nghiêm trọng này cho phép kẻ tấn công gửi tiền và rút tiền trong tài khoản của họ trong khi vẫn chưa hoàn tất quy trình gửi tiền.

Phản hồi nhanh nhưng chưa đủ nhanh

Kraken đã có thể phản hồi cảnh báo và loại bỏ vấn đề bảo mật trong vòng 47 phút. Vấn đề bắt nguồn từ một giao diện người dùng mới được giới thiệu cách đây một thời gian, cho phép khách hàng gửi tiền và sử dụng tiền trước khi khoản tiền gửi được xác định bởi cơ quan thanh toán bù trừ, nếu có. 

Mặc dù Kraken tuyên bố rằng không có tiền mặt của khách hàng nào bị mất trong quá trình xâm nhập, nhưng lỗi này đã khiến những người có mục đích xấu có thể gửi và rút tiền giả.

Trong trường hợp này, ba tài khoản bắt đầu thực hiện động thái giống nhau trong vòng một tuần và tất cả đều cố gắng chuyển 3 triệu USD ra khỏi sàn giao dịch. Trong số này, một tài khoản thuộc sở hữu của nhà nghiên cứu bảo mật, người gần đây đã báo cáo lỗi này.

Đối với lỗ hổng đầu tiên được xác định, Percoco nhận xét rằng một người muốn khai thác nó đã đầu tư 4 USD vào tiền điện tử để minh họa vấn đề và số tiền đó có thể đủ cho một báo cáo tiền thưởng lỗi và phần thưởng tiếp theo. Tuy nhiên, nhà nghiên cứu đã quyết định cung cấp thông tin chi tiết về lỗi cho hai người tham gia khác, những người đã có thể đánh cắp gần 3 triệu đô la từ kho bạc của Kraken.

Vấn đề nan giải về đạo đức hay tống tiền?

Khi Kraken tiếp cận các cá nhân để trả lại số tiền bị đánh cắp và cung cấp cách khai thác bằng chứng khái niệm (PoC), các nhà nghiên cứu đã yêu cầu thanh toán để đổi lấy việc trả lại tài sản. Percoco lên án hành vi này là tống tiền, nhấn mạnh rằng nó vi phạm các nguyên tắc đạo đức của hack mũ trắng.

Kraken đang coi vụ việc là một vụ án hình sự và đang phối hợp với các cơ quan thực thi pháp luật

Cũng đọc: SỐC: Lừa đảo “làm thịt lợn” tiền điện tử đang gia tăng! Bạn nên biết điều gì