Глава службы безопасности Kraken сообщает, что изменение пользовательского интерфейса привело к использованию уязвимости стоимостью 3 миллиона долларов

Самые главные криптоновости в Телеграм-канале CryptoMoon, присоединяйтесь!👇

Cryptomoon Telegram


Как исследователь с опытом работы в индустрии криптовалютных бирж, я нахожу недавний инцидент с Kraken глубоко тревожным. Потеря около 3 миллионов долларов из-за ошибки, использованной мошенническими «исследователями безопасности», является суровым напоминанием о важности этических стандартов и тщательного тестирования в этой области.


Как исследователь, изучающий инциденты безопасности Kraken, я обнаружил, что дефект в механизме финансирования биржи был использован злонамеренными исследователями безопасности, что привело к убыткам Kraken в размере 3 миллионов долларов.

В начале июня криптовалюта на сумму около 3 миллионов долларов была украдена у американской биржи Kraken в результате хитрой атаки на их систему финансирования, осуществленной неизвестным «исследователем безопасности». Начальник службы безопасности Kraken Ник Перкоко раскрыл эту информацию на публичном форуме, выразив разочарование по поводу этического упущения, допущенного ответственными за это.

В нашей повседневной работе мы сталкиваемся с ложными отчетами об ошибках, помеченными как «материалы от исследователей безопасности». Это не новый случай для тех, кто управляет программой вознаграждения за обнаружение ошибок. Тем не менее, мы серьезно отнеслись к этим обвинениям и оперативно сформировали совместную группу для расследования этого вопроса. Вот что выявило наше расследование.

— Ник Перкоко (@c7five), 19 июня 2024 г.

По словам Percoco, «исследователь безопасности» предупредил команду о возможной проблеме 9 июня. Впоследствии они выявили «недостаток, возникший в результате недавнего изменения пользовательского интерфейса», который позволял клиентам получать доступ к своим кредитным счетам до того, как их активы были очищены. Это позволило трейдерам участвовать в транзакциях на рынке криптовалют в режиме реального времени. К сожалению, директор по безопасности Kraken признал, что они не оценили изменение UX для этого конкретного типа атаки до того, как оно произошло.

«Это изменение UX не было тщательно проверено на предмет конкретного вектора атаки», — написал Перкоко.

Как аналитик, я обнаружил, что после устранения уязвимости было обнаружено, что три учетные записи Kraken воспользовались ею с небольшой разницей во времени. Согласно заявлению Percoco, вместо того, чтобы сообщить об этой проблеме безопасности непосредственно Кракену, исследователь, как утверждается, передал информацию двум компаньонам. Личности этих лиц остаются нераскрытыми, но в результате им удалось вывести около 3 миллионов долларов из средств Kraken.

Выступая, Перкоко подчеркнул, что первоначальный отчет самопровозглашенного «исследователя безопасности» не был полностью прозрачным относительно обнаруженной уязвимости. Следовательно, команде необходимо было перепроверить некоторые аспекты, прежде чем приступить к выплате вознаграждения за обнаружение проблемы безопасности.

Как исследователь, изучающий этот инцидент, я могу его перефразировать, сказав, что Кракен требовал полного объяснения предпринятых действий, демонстрации своих возможностей и возврата изъятых средств. Однако заинтересованные лица отказались подчиниться, а Percoco охарактеризовала их поведение как «вымогательство», а не как этический взлом. Детали того, удалось ли Kraken выявить всех преступников или вернуть украденные средства, остаются неясными.

Смотрите также

2024-06-19 17:16