Kraken обнаружил уязвимость, позволившую недобросовестным «исследователям в области безопасности» получить прибыль в размере 3 миллионов долларов

Американская биржа Kraken потеряла почти 3 миллиона долларов из своего казначейства после того, как неназванная компания по безопасности воспользовалась уязвимостью на ее платформе. Главный специалист по безопасности Ник Перкоко сообщил об этом в публикации на X, заявив, что компания по безопасности отказалась вернуть средства и теперь требует более крупную выплату в качестве вознаграждения.

Читайте также: Криптовалютная биржа DMM Bitcoin обещает возместить пользователям ущерб, причиненный взломом на сумму 300 миллионов долларов.

В ответ на это Kraken передал дело в правоохранительные органы и будет рассматривать его как уголовное преступление. Однако пользователям не стоит беспокоиться, поскольку биржа утверждает, что уже устранила уязвимость, и ни один пользовательский аккаунт не пострадал.

Ошибка Kraken позволяет печатать деньги

По словам Перкоко, 9 июня исследователь безопасности сообщил Kraken о критической ошибке через программу Bug Bounty. В ходе внутреннего расследования команда безопасности биржи обнаружила уязвимость, которая могла позволить злоумышленнику инициировать пополнение счета на Kraken и получить средства, не завершив пополнение. Злоумышленник мог бы получить миллионы долларов из ничего, используя эту уязвимость.

Он пояснил:

«Мы обнаружили единичный сбой. Он позволял злоумышленнику при определенных обстоятельствах инициировать пополнение счета на нашей платформе и получить средства на свой счет, не завершив пополнение полностью»

Внутренняя служба безопасности устранила проблему в течение 47 минут и полностью исправила её через несколько часов. Однако компания обнаружила, что ошибка возникла из-за недавнего изменения в пользовательском интерфейсе, которое позволяло зачислять средства на счета клиентов до того, как их активы были обработаны. Хотя это изменение было внедрено для обеспечения мгновенной торговли, оно не было полностью протестировано на предмет такого рода рисков.

Однако Перкоко добавил, чтоdent не затронул активы пользователей, и использование уязвимости повлияло только на казначейство Kraken.

Исследователи в области безопасности — преступники

Между тем, анализ уязвимости показал, что ею воспользовались три учетные записи, и одна из них была зарегистрирована на имя исследователя безопасности, который первоначально связался с биржей.

Читайте также: Kraken рассматривает возможность исключения USDT из листинга в ответ на новые правила ЕС.

В то время как пользователь, использовавший уязвимость, зачислил на свой счет всего 4 доллара, чего было достаточно для доказательства существования ошибки, два других пользователя, используя ту же уязвимость, вывели со своих счетов Kraken почти 3 миллиона долларов. Интересно, что эти аккаунты были связаны с соратниками исследователя безопасности.

Компания Kraken объяснила, что ее попытки вернуть средства оказались тщетными, поскольку исследователи теперь требуют более высокую оплату, которая, по их мнению, соизмерима с риском, связанным с обнаруженной ошибкой.

Перкоко назвал это актом вымогательства, что противоречит принципу программы Bug Bounty. Он добавил, что нарушение правил, дающих «белым хакерам» лицензию на взлом, превращает исследователей безопасности в преступников, и биржа относится к ним соответственно.