Криптовалютная биржа Kraken недавно сообщила, что стала жертвой критической уязвимости безопасности, в результате которой исследовательская группа присвоила цифровые активы на сумму 3 миллиона долларов.
Инцидент произошел после того, как 9 июня биржа получила отчет об ошибке в рамках своей программы вознаграждения за ошибки от самопровозглашенного исследователя безопасности, который утверждал, что обнаружил «чрезвычайно критическую» ошибку, которая позволила ему «искусственно раздуть» свой баланс на бирже. Платформа.
Однако ситуация приняла неожиданный оборот, когда выяснилось, что исследователь и его коллеги воспользовались уязвимостью, чтобы вывести значительную сумму. Kraken возбудил уголовное расследование по данному факту и координирует действия с правоохранительными органами по расследованию инцидента.
Кракен столкнулся с попыткой вымогательства
В сообщении в социальной сети директор службы безопасности биржи Ник Перкоко сообщил, что после получения первоначального отчета об ошибке Kraken собрал межфункциональную команду для расследования проблемы.
В течение нескольких минут они выявили изолированную ошибку, которая позволяла злоумышленнику инициировать депозит, получать средства на свой счет, не завершая депозит полностью, и эффективно создавать активы на своем счете Kraken в течение ограниченного времени.
Уязвимость была классифицирована как критическая, и, как сообщается, команда устранила проблему в течение часа, гарантируя, что она не повторится. Уязвимость возникла из-за недавнего изменения пользовательского интерфейса (UX), которое позволило клиентам торговать на криптовалютных рынках в режиме реального времени до очистки их активов, изменение, которое не было тщательно протестировано против этого конкретного вектора атаки.
Дальнейшее расследование показало, что три аккаунта воспользовались уязвимостью с разницей в несколько дней. Утверждается, что одна из этих учетных записей была связана с человеком, утверждавшим, что он является исследователем безопасности, который обнаружил ошибку и зачислил на свой счет «небольшое количество криптовалюты», чтобы продемонстрировать уязвимость.
Однако вместо того, чтобы сообщить об уязвимости и получить вознаграждение за обнаружение ошибок, этот человек раскрыл ошибку двум партнерам, которые обманным путем получили гораздо большие суммы. В общей сложности троица вывела из казны Kraken почти 3 миллиона долларов.
Когда Kraken потребовал вернуть средства, исследователи отказались, потребовав обсуждения с командой по развитию бизнеса и указав предполагаемую сумму, которую могла бы вызвать ошибка, если бы она не была раскрыта.
Правовой иск против исследовательской компании
В своем обращении компания Percoco также сообщила, что Kraken решительно осудил действия исследовательской группы, рассматривая их поведение как «вымогательство», а не как законный хакерский взлом.
Биржа, которая поддерживает программу Bug Bounty уже почти десять лет, подчеркнула, что никогда не сталкивалась с проблемами с законными исследователями и всегда следовала четким правилам, таким как не использовать уязвимости сверх того, что необходимо для доказательства, предоставляя доказательства концепцию и немедленное возвращение любых извлеченных активов.
Напоследок руководитель службы безопасности биржи также заявил, что Kraken рассматривает инцидент как уголовное дело и активно сотрудничает с правоохранительными органами. Хотя биржа выразила благодарность за отчет, она намерена подать в суд на причастную к этому исследовательскую фирму.
Избранное изображение с сайта DALL-E, диаграмма с сайта TradingView.com