Kryptovaluuttakauppapaikka Kraken on raportoinut alle kaksi viikkoa sitten tapahtuneesta hyväksikäytöstä, jonka aikana se menetti lähes 3 miljoonaa dollaria bugeihin liittyvässä hyökkäyksessä.
Tapaus korostaa epävarmuutta ja haavoittuvuuksia, jotka edelleen saastuttavat alaa.
Kraken menetti 3 miljoonaa dollaria bugihyökkäyksessä
Kraken paljasti bugihyökkäyksen 9. kesäkuuta, jolloin huono näyttelijä ansaitsi lähes 3 miljoonaa dollaria. Krakenin turvallisuusjohtajan Nick Percocon jakaman raportin perusteella pörssi sai bug bounty -ohjelmahälytyksen.
“9. kesäkuuta 2024 saimme tietoturvatutkijalta hälytyksen Bug Bounty -ohjelmasta. Yksityiskohtia ei alun perin paljastettu, mutta heidän sähköpostinsa väitti löytävänsä “erittäin kriittisen” virheen, jonka avulla he pystyivät keinotekoisesti paisuttamaan tasapainoaan alustallamme “, Percoco totesi keskiviikkona julkaistussa viestissä .
CSO totesi, että lisätutkimus paljasti yksittäisen virheen, joka antoi huonolle näyttelijälle ansaitsemattomia etuoikeuksia. Erityisesti he voivat aloittaa talletuksen Kraken Exchangessa ja vastaanottaa varoja tililleen, vaikka he eivät olleet suorittaneet talletusta kokonaan.
Lue lisää: Kraken arvostelu 2024: Turvallisuus ja ominaisuudet
Rikostekninen analyysi paljasti haavoittuvuuden äskettäisessä UX-muutoksessa Krakenin alustalla. Tämän virheen avulla pahantahtoinen hyökkääjä pystyi “tulostamaan resursseja” tililleen tietyksi ajaksi. Tärkeää on, että asiakasvarat eivät vaarantuneet, ja ongelma on korjattu. Myöhempi luotain havaitsi kuitenkin, että kolme tiliä oli jo hyödyntänyt virhettä muutaman päivän sisällä toisistaan.
“Riskin korjaamisen jälkeen tutkimme tilanteen perusteellisesti ja huomasimme nopeasti, että 3 tiliä oli hyödyntänyt tätä puutetta muutaman päivän sisällä toisistaan. Kun kaivoimme syvemmälle, huomasimme, että yksi tili oli KYC’d henkilölle, joka väitti olevansa turvallisuustutkija”, Percoco sanoi.
Tietoturvatutkija löysi virheen Krakenin rahoitusjärjestelmästä ja hyvitti tililleen 4 dollaria kryptovaluuttaa. Tämä summa riitti osoittamaan virheen ja tekemään bug bounty -raportin, joka olisi ansainnut merkittävän palkkion Krakenin ohjelmassa.
Sen sijaan tutkija jakoi virheen kahden kollegansa kanssa, jotka käyttivät sitä hyväkseen tuottaakseen paljon suurempia summia vilpillisesti. Tämä salainen yhteistyö johti lähes 3 miljoonan dollarin tappioon, joka otettiin Krakenin kassoista eikä asiakkaiden varoista.
Lue lisää: Kryptoturvallisuuden 5 parasta puutetta ja niiden välttäminen
Tapaus huipentui kiristystapaukseen sen jälkeen, kun kryptokauppapaikka yritti periä varat takaisin tutkijoilta. Kraken pyysi täydellistä selvitystä tutkijoiden toiminnasta, mukaan lukien todiste konseptista, jota käytettiin ketjun toiminnan luomiseen, ja järjestelyt nostettujen varojen palauttamiseksi.
“Nämä turvallisuustutkijat kieltäytyivät. Sen sijaan he vaativat puhelua liiketoiminnan kehitystiiminsä kanssa eivätkä ole suostuneet palauttamaan varoja ennen kuin annamme spekuloidun $ summan, jonka tämä virhe olisi voinut aiheuttaa, jos he eivät olisi paljastaneet sitä. Tämä ei ole valkohattuhakkerointia, se on kiristystä!” Percoco paheksui.
Kraken on siksi turvautunut käsittelemään tapausta rikosasiana ja sitoutunut koordinoimaan lainvalvontaviranomaisten kanssa. Tutkimusyhtiö on edelleen julkistamaton.
Trusted
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
