Криптообменът Kraken разкри днес, че предполагаеми изследователи по сигурността са използвали грешка в уебсайт с уязвимост от нулев ден, за да откраднат 3 милиона долара в криптовалута, след което са отказали да върнат средствата.
Хакерската атака беше разкрита от главния служител по сигурността на Kraken Ник Перкоко на X, като обясни, че екипът по сигурността на борсата е получил неясен доклад за грешка на 9 юни за „изключително критична“ уязвимост, която позволява на всеки да увеличи изкуствено салдата в портфейл на Kraken. От криптоборсата казват, че са проучили доклада и са открили грешка, позволяваща на нападателите да инициират депозити и да получат средствата, дори ако депозитът е неуспешен.
„В рамките на няколко минути открихме изолиран бъг. Това позволяваше на злонамерен нападател, при подходящи обстоятелства, да инициира депозит в нашата платформа и да получи средства в сметката си, без депозитът да е завършен напълно“, обясни Перкоко.
„За да бъдем ясни, активите на нито един клиент никога не са били изложени на риск. Въпреки това злонамереният нападател можеше ефективно да отпечата активите в своята сметка в Kraken за определен период от време.“
Перкоко казва, че екипът по сигурността на Kraken е отстранил дефекта в рамките на един час и е открил, че той произтича от скорошна промяна в потребителския интерфейс, която позволява на клиентите да депозират средства и да ги използват, преди да бъдат изчистени.
Тук нещата придобиват странен обрат.
След като поправят грешката, те откриват, че трима потребители са я използвали като нулев ден, за да откраднат 3 млн. долара от касата на борсата.
Един от членовете е бил свързан с лице, което е твърдяло, че е изследовател, който го е използвал, за да депозира 4 долара в криптовалута в сметката си, за да докаже грешката.
Перкоко обаче казва, че бъгът е бил разкрит на други двама души, свързани с изследователя, които са го използвали, за да изтеглят още 3 млн. долара откраднати средства от сметките си в Kraken.
След като се свързал с изследователя за това изтегляне, Перкоко казва, че изследователите са отказали да върнат криптовалутите или да споделят каквато и да е информация относно уязвимостта, както се очаква при разкриване на бъг.
„Вместо това те поискаха разговор с техния екип за бизнес развитие (т.е. с търговските им представители) и не се съгласиха да върнат никакви средства, докато не предоставим предполагаемата сума от $, която този бъг би могъл да причини, ако не го бяха разкрили“, твърди Перкоко.
„Това не е хакерство, а изнудване!“
Перкоко казва, че Kraken не разкрива самоличността на изследователите, тъй като „те не заслужават признание за действията си“.
От Kraken заявяват, че разглеждат случая като криминален и са уведомили правоохранителните органи.
n)
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
