Kraken сообщил, что был взломан на сумму почти 3 миллиона долларов из-за ошибки, которая теперь исправлена

Kraken сообщил, что почти 3 миллиона долларов были украдены из его кошельков в результате эксплуатации ошибки, которая с тех пор была исправлена.

Криптовалютная биржа получила уведомление о программе вознаграждения за обнаружение ошибок 9 июня, согласно заявлению главного директора по безопасности Kraken Ника Перко. В уведомлении говорилось о «чрезвычайно критической» ошибке, позволяющей злоумышленнику искусственно увеличивать свой баланс на платформе.

Перко сказал, что, хотя в сообщении не было конкретных деталей, они изучили проблему и обнаружили изолированную ошибку, позволяющую злоумышленнику инициировать депозит на платформе и получать средства на свой счет, не завершив полностью депозит. Он отметил, что это происходило только в определенных обстоятельствах.

Хотя активы клиентов не были под угрозой, он утверждал, что ошибка возникла из-за недостатка в недавнем изменении UX, которое зачисляло средства на счета клиентов до полного завершения депозита, что позволяло злоумышленнику фактически «печатать активы» на своем счете Kraken «в течение некоторого времени», сказал Перко.

Эксплуатация до подачи отчета о баге

По словам Перко, ошибка была полностью исправлена в течение нескольких часов. Однако последующее расследование показало, что она уже была использована тремя аккаунтами в течение нескольких дней друг от друга, сказал он.

Перко утверждал, что один из аккаунтов был верифицирован по KYC на имя человека, который обнаружил ошибку и утверждал, что он «исследователь безопасности». Этот человек якобы использовал ошибку, чтобы зачислить на свой счет 4 доллара — достаточно, чтобы доказать наличие ошибки, подать отчет о баге и получить значительное вознаграждение, сказал Перко.

Однако, по словам главного директора по безопасности Kraken, исследователь вместо этого сообщил об ошибке двум другим лицам, с которыми он работает, и которые затем вывели гораздо большие суммы со своих счетов Kraken, в общей сложности почти 3 миллиона долларов. «Это были средства из казначейства Kraken, а не активы других клиентов», уточнил Перко.

Перко сказал, что Kraken запросил полный отчет об их действиях и возврат средств. Однако исследователи якобы отказались вернуть какие-либо средства, пока Kraken не раскроет потенциальный размер эксплуатации, если бы они не сообщили об ошибке. «Это не белая хакерская деятельность, это вымогательство!» — сказал Перко.

Перко сказал, что криптовалютная биржа была обвинена исследователями в «неразумности» и «непрофессионализме» в своих запросах, добавив, что, хотя Kraken не будет раскрывать имя исследовательской фирмы, она будет рассматривать это как уголовное дело, учитывая нарушение условий программы вознаграждения за обнаружение ошибок.

«Мы не будем раскрывать эту исследовательскую компанию, потому что они не заслуживают признания за свои действия. Мы рассматриваем это как уголовное дело и координируем свои действия с правоохранительными органами», — сказал Перко.