Обмен криптовалюты Kraken недавно выяснилось, что он стал жертвой критической уязвимости в безопасности, в результате чего было присвоено 3 миллиона долларов США. цифровые активы исследовательской группой.
Инцидент произошел после того, как 9 июня биржа получила отчет об ошибке в рамках своей программы вознаграждения за ошибки от самопровозглашенного исследователя безопасности, который утверждал, что обнаружил «чрезвычайно критическую» ошибку, которая позволила ему «искусственно раздуть» свой баланс на платформе.
Однако ситуация приняла неожиданный оборот, когда выяснилось, что исследователь и его сообщники воспользовались уязвимостью, чтобы вывести значительную сумму. Kraken запустил расследование преступления в этот вопрос и координирует действия с правоохранительными органами для устранения инцидента.
Kraken Лица с попыткой вымогательства
В социальных сетях почтаДиректор службы безопасности биржи Ник Перкоко заявил, что после получения первоначального отчета об ошибке, Kraken собрал межфункциональную команду для расследования проблемы.
В течение нескольких минут они выявили изолированную ошибку, которая позволяла злоумышленнику инициировать депозит, получать средства на свой счет, не завершая депозит полностью, и эффективно создавать активы на своем счету. Kraken учет в течение ограниченного времени.
Уязвимость была классифицирована как критическая, и, как сообщается, команда устранила проблему в течение часа, гарантируя, что она не повторится. Уязвимость возникла из-за недавнего изменения пользовательского опыта (UX), которое позволило клиентам торговать. крипторынки в режиме реального времени, прежде чем их активы будут очищены, изменение, которое не было тщательно проверено на предмет данного конкретного вектора атаки.
Дальнейшее расследование показало, что три аккаунта воспользовались уязвимостью с разницей в несколько дней. Утверждается, что одна из этих учетных записей была связана с человеком, назвавшимся исследователем безопасности, который обнаружил ошибку и зачислил на свой счет «небольшое количество криптовалюты», чтобы продемонстрировать уязвимость.
Однако вместо того, чтобы сообщить об уязвимости и получить награда за ошибку вознаграждение, этот человек раскрыл ошибку двум партнерам, которые обманным путем получили гораздо большие суммы. В общей сложности троица вывела из банка почти 3 миллиона долларов. Krakenказначейства России.
Когда Kraken запросили возврат средств, исследователи отказались, потребовав обсуждения с командой по развитию бизнеса и указав предполагаемую сумму, которую могла бы вызвать ошибка, если бы она не была раскрыта.
Судебный иск против исследовательской компании
Percoco далее сообщила в своем обращении, что Kraken решительно осудил действия исследовательской группы, посчитав их поведение «вымогательством», а не законным хакерство в белой шляпе.
Биржа, которая поддерживает программу Bug Bounty уже почти десять лет, подчеркнула, что никогда не сталкивалась с проблемами с законными исследователями и всегда следовала четким правилам, таким как не использовать уязвимости сверх того, что необходимо для доказательства, предоставлять подтверждение концепции и немедленное возвращение любых извлеченных активов.
Наконец, руководитель службы безопасности биржи также заявил, что Kraken рассматривает произошедшее как уголовное дело и активно сотрудничает с правоохранительными органами. Хотя биржа выразила благодарность за отчет, она намерена продолжать судебный иск против вовлеченной исследовательской фирмы.
Рекомендуемое изображение от DALL-E, график от TradingView.com
