Търсене
Close this search box.

Криптообменът Kraken разкри днес, че предполагаеми изследователи по сигурността са използвали грешка в уебсайт с уязвимост от нулев ден, за да откраднат 3 милиона долара в криптовалута, след което са отказали да върнат средствата.

Хакерската атака беше разкрита от главния служител по сигурността на Kraken Ник Перкоко на X, като обясни, че екипът по сигурността на борсата е получил неясен доклад за грешка на 9 юни за „изключително критична“ уязвимост, която позволява на всеки да увеличи изкуствено салдата в портфейл на Kraken. От криптоборсата казват, че са проучили доклада и са открили грешка, позволяваща на нападателите да инициират депозити и да получат средствата, дори ако депозитът е неуспешен.

„В рамките на няколко минути открихме изолиран бъг. Това позволяваше на злонамерен нападател, при подходящи обстоятелства, да инициира депозит в нашата платформа и да получи средства в сметката си, без депозитът да е завършен напълно“, обясни Перкоко.

„За да бъдем ясни, активите на нито един клиент никога не са били изложени на риск. Въпреки това злонамереният нападател можеше ефективно да отпечата активите в своята сметка в Kraken за определен период от време.“

Перкоко казва, че екипът по сигурността на Kraken е отстранил дефекта в рамките на един час и е открил, че той произтича от скорошна промяна в потребителския интерфейс, която позволява на клиентите да депозират средства и да ги използват, преди да бъдат изчистени.

Тук нещата придобиват странен обрат.

След като поправят грешката, те откриват, че трима потребители са я използвали като нулев ден, за да откраднат 3 млн. долара от касата на борсата.

Един от членовете е бил свързан с лице, което е твърдяло, че е изследовател, който го е използвал, за да депозира 4 долара в криптовалута в сметката си, за да докаже грешката.

Перкоко обаче казва, че бъгът е бил разкрит на други двама души, свързани с изследователя, които са го използвали, за да изтеглят още 3 млн. долара откраднати средства от сметките си в Kraken.

След като се свързал с изследователя за това изтегляне, Перкоко казва, че изследователите са отказали да върнат криптовалутите или да споделят каквато и да е информация относно уязвимостта, както се очаква при разкриване на бъг.

„Вместо това те поискаха разговор с техния екип за бизнес развитие (т.е. с търговските им представители) и не се съгласиха да върнат никакви средства, докато не предоставим предполагаемата сума от $, която този бъг би могъл да причини, ако не го бяха разкрили“, твърди Перкоко.

„Това не е хакерство, а изнудване!“

Перкоко казва, че Kraken не разкрива самоличността на изследователите, тъй като „те не заслужават признание за действията си“.

От Kraken заявяват, че разглеждат случая като криминален и са уведомили правоохранителните органи.

n)

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
07/10/2024

Самопризнание за кражба на ...

21-годишен мъж от Индиана на име...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!