Директор по безопасности ведущей криптовалютной биржи Kraken Ник Перкоко сообщил, что нераскрытая хакерская группа отказалась вернуть цифровые активы на сумму около 3 миллионов долларов, которые они украли из казначейства платформы, воспользовавшись ошибкой в ее системе.
В серии X-сообщений Percoco сообщил, что исследователи безопасности требуют, чтобы криптовалютная биржа предоставила предполагаемую сумму денег, которую она могла бы потерять, если бы они не раскрыли ошибку, прежде чем смогли вернуть украденные средства.
Исследователи безопасности обнаружили ошибку Kraken
По данным Percoco, 9 июня исследователь безопасности отправил Kraken предупреждение программы Bug Bounty, утверждая, что они обнаружили «чрезвычайно критическую» ошибку, которая позволяла пользователям искусственно завышать свой баланс на платформе. Хотя биржа опасалась ежедневного получения многочисленных фальшивых отчетов об ошибках, она отнеслась к этому серьезно и собрала команду для расследования проблемы.
Команда обнаружила ошибку, которая позволяла киберпреступникам инициировать депозиты на Kraken и получать средства на свои счета, не завершая депозиты. Хотя эта ошибка не подвергала риску средства клиентов, злоумышленник мог распечатать активы на их счетах и вывести средства, которые можно было получить из казначейства Kraken.
Проблема была устранена менее чем за два часа с момента ее выявления. Команда обнаружила, что ошибка возникла из-за недостатка в последнем пользовательском интерфейсе (UX) Kraken. В ходе дальнейшего расследования Kraken обнаружил, что эту уязвимость уже использовали три аккаунта. Одна учетная запись была связана с пользователем, который утверждал, что является исследователем безопасности.
Оказывается, исследователь первым обнаружил ошибку, использовал ее для зачисления на свой счет Kraken 4 долларов в криптовалюте и вместо того, чтобы подать отчет об ошибке соответствующей команде, сообщил об этом двум своим коллегам, которые использовали уязвимость для получения более крупных сумм. В совокупности они сняли со своих счетов около 3 миллионов долларов в криптовалюте.
Награда за обнаружение ошибок превратилась в вымогательство
Когда Kraken связался с исследователями безопасности и запросил отчет об их деятельности и возврат выведенных ими активов, они отказались. Они назвали Kraken необоснованным и непрофессиональным и потребовали от платформы предоставить оценку ущерба, который могла нанести ошибка.
Перкоко сообщил, что Kraken передал дело правоохранительным органам, поскольку речь идет о вымогательстве.
Источник«Мы рассматриваем это как уголовное дело и соответствующим образом координируем свою деятельность с правоохранительными органами. Мы благодарны, что об этой проблеме сообщили, но на этом эта мысль заканчивается», — заявил Перкоко.
