Хакеры украли $3 млн из криптобиржи Kraken, выдавая себя за исследователей безопасности

Ник Перкоко, директор по безопасности Kraken, рассказал о ситуации в серии сообщений на X, подчеркнув неэтичное поведение злоумышленников.

По словам Перкоко, команда впервые получила уведомление от «исследователя безопасности» о потенциальной уязвимости 9 июня. Позже команда обнаружила «ошибку, возникшую в результате недавнего изменения UX», которая позволяла зачислять средства на кредитные счета клиентов до того, как их активы были проверены, что позволяло клиентам фактически торговать на крипторинках в реальном времени. Директор по безопасности признал, что биржа не тестировала изменение UX по этому конкретному типу атаки до ее осуществления.

«Это изменение UX не было тщательно протестировано против этого конкретного вектора атаки», - написал Перкоко.

После устранения уязвимости Kraken обнаружил, что в течение нескольких дней этой уязвимостью воспользовались три аккаунта. Вместо того, чтобы сообщить об уязвимости напрямую, «исследователь безопасности», вероятно, поделился информацией с двумя сообщниками, добавил Перкоко, отметив, что эти неизвестные в конце концов вывели из Kraken около 3 миллионов долларов.

Перкоко отметил, что первый отчет от исследователя безопасности не полностью раскрывал суть уязвимости, поэтому команде пришлось повторно подтвердить некоторые детали, прежде чем вознаградить его за успешное выявление проблемы безопасности.

Kraken требовал полного отчета об их действиях, доказательстве концепции и возвращении выведенных средств. Однако люди отказались выполнить эти требования. Перкоко назвал такие действия не «нравственным хакерством», а «вымогательством». Пока неизвестно, удалось ли Kraken идентифицировать всех злоумышленников или вернуть похищенные средства.