Уязвимость, обнаруженная «исследователем безопасности», привела к краже почти 3 миллионов долларов из казначейства Kraken.
Уязвимость, обнаруженная «исследователем безопасности», привела к краже почти 3 миллионов долларов из казначейства Kraken. Криптовалютная биржа Kraken заявила, что «исследователи безопасности», которые выявили уязвимость на их платформе, прибегли к «вымогательству» после вывода около 3 миллионов долларов из казначейства биржи.
Ник Персоко, директор по безопасности Kraken, поделился в социальной сети X (ранее Twitter), что компания получила предупреждение от исследователя безопасности 9 июня о уязвимости, позволяющей пользователям искусственно увеличивать свои балансы. По словам Персоко, уязвимость «позволяла злоумышленнику при определенных условиях инициировать депозит и получить средства на свой счет без полного завершения депозита». Kraken оперативно устранил проблему после получения отчета, гарантируя, что средства пользователей не пострадали. Однако последующие события вызвали серьезные опасения у команды Kraken.
Исследователь безопасности, как сообщается, сообщил о баге двум другим лицам, которые затем «мошеннически» вывели почти 3 миллиона долларов со своих счетов Kraken. «Это были средства из казначейства Kraken, а не активы клиентов», — уточнил Персоко. В первоначальном отчете об ошибке не упоминались транзакции с участием других лиц, и когда Kraken запросил дополнительные сведения, исследователи отказались сотрудничать.
«Вместо этого они потребовали звонка с их командой по развитию бизнеса (т. е. с их торговыми представителями) и не согласились вернуть какие-либо средства, пока мы не предоставим предполагаемую сумму ущерба, которую могла бы вызвать эта ошибка, если бы они не сообщили о ней. Это не хакерство белой шляпы, это вымогательство!» — заявил Персоко.
Kraken не раскрыл личностей исследователей, но редактор блокчейн-кода Certik позже сообщил в социальной сети, что обнаружил несколько уязвимостей на криптобирже. Certik провел «многодневное тестирование» и отметил, что уязвимость могла быть использована для создания миллионов долларов в криптовалюте. «Миллионы долларов могут быть внесены на ЛЮБОЙ счет Kraken. Огромное количество фальшивой криптовалюты (стоимостью более 1 миллиона долларов США) может быть выведено и конвертировано в действительные криптовалюты. Более того, во время много дней тестирования не было сработано никаких предупреждений», — объяснил пост Certik. Однако Certik заявил, что ситуация ухудшилась после их первоначального разговора с Kraken. «Команда по безопасности Kraken УГРОЖАЛА отдельным сотрудникам Certik вернуть НЕСООТВЕТСТВУЮЩУЮ сумму криптовалюты в НЕРАЗУМНЫЙ срок, даже БЕЗ предоставления адресов для возврата», — добавил пост на X.
Программы поощрения за обнаружение уязвимостей, используемые многими компаниями для повышения уровня безопасности, приглашают сторонних хакеров, известных как «белые шляпы», выявлять уязвимости, чтобы компания могла устранить их до того, как их воспользуются злоумышленники. Конкурент Kraken, Coinbase, имеет аналогичную программу для уведомления биржи о уязвимостях.
Чтобы получить вознаграждение, программа Kraken требует от третьих лиц обнаружить проблему, использовать минимальное количество средств для доказательства уязвимости, вернуть активы и предоставить детали уязвимости. Kraken заявил в блоге, что поскольку исследователи безопасности не следовали этим правилам, они не получат вознаграждение.