Хакери викрали $3 млн з криптобіржі Kraken, видаючи себе за дослідників безпеки
Головний спеціаліст з безпеки американської криптобіржі Kraken розкрив інцидент, коли хакери, що видавали себе за «дослідників безпеки», скористалися вразливістю в системі фінансування, що призвело до втрати близько 3 мільйонів доларів у криптовалюті.
Нік Перкоко, директор з безпеки Kraken, розповів про ситуацію в серії повідомлень на X, підкресливши неетичну поведінку зловмисників.
За словами Перкоко, команда вперше отримала повідомлення від «дослідника безпеки» про потенційну вразливість 9 червня. Пізніше команда виявила «помилку, що виникла внаслідок нещодавньої зміни UX», яка дозволяла зараховувати кошти на кредитні рахунки клієнтів до того, як їхні активи були перевірені, що давало змогу клієнтам фактично торгувати на крипторинках у реальному часі. Директор з безпеки визнав, що біржа не тестувала зміну UX щодо цього конкретного типу атаки до її здійснення.
«Ця зміна UX не була ретельно протестована проти цього конкретного вектора атаки», - написав Перкоко.
Після усунення вразливості Kraken виявив, що протягом кількох днів цією вразливістю скористалися три облікові записи. Замість того, щоб повідомити про вразливість напряму, «дослідник безпеки», ймовірно, поділився інформацією з двома спільниками, додав Перкоко, зазначивши, що ці невідомі особи врешті-решт вивели з Kraken близько 3 мільйонів доларів.
Перкоко зазначив, що перший звіт від «дослідника безпеки» не повністю розкривав суть вразливості, тому команді довелося повторно підтвердити деякі деталі, перш ніж винагородити його за успішне виявлення проблеми безпеки.
Kraken вимагав повного звіту про їхні дії, доказ концепції та повернення виведених коштів. Однак особи відмовились виконати ці вимоги. Перкоко назвав такі дії не «етичним хакерством», а «вимаганням». Наразі невідомо, чи Kraken вдалося ідентифікувати усіх зловмисників або повернути викрадені кошти.
Яка ваша реакція?
