Kraken пострадал от вымогательства после того, как хакеры воспользовались ошибкой стоимостью 3 миллиона долларов

Как исследователь с обширным опытом в области кибербезопасности, я считаю недавний инцидент с участием Кракена и исследователей безопасности, которые предположительно перешли черту вымогательства, одновременно тревожным и разочаровывающим. Вызывает разочарование, когда люди, которые должны действовать этично и ответственно в поисках уязвимостей, вместо этого используют эти слабости для личной выгоды, причиняя вред невиновным сторонам.


Недавно криптовалютная биржа Kraken столкнулась со сложной проблемой, когда некоторых самопровозглашенных исследователей безопасности обвинили в выходе за рамки допустимого и в попытках вымогательства. Начальник службы безопасности Kraken Ник Перкоко поделился мнением об этой ситуации через платформу социальных сетей X.

Согласно отчету Percoco, 9 июня исследователь безопасности сообщил Kraken об уязвимости, которая позволяла пользователям преувеличивать показатели своего баланса. Это несовершенство позволило злоумышленнику инициировать депозиты и обеспечить безопасность средств, не завершая процедуру.

9 июня 2024 г. мы получили уведомление от исследователя безопасности в рамках нашей программы Bug Bounty. Сначала никаких подробностей о проблеме не сообщалось, но они заявили, что обнаружили «крайне критическую» ошибку, которая позволила им ложно увеличить баланс своего счета в нашей системе.

— Ник Перкоко (@c7five), 19 июня, 2024 год

Команда Kraken быстро решила проблему без какого-либо ущерба для средств пользователей. Тем не менее, информация из отчета службы безопасности вызвала серьезные опасения. Сообщается, что исследователь раскрыл уязвимость двум другим сторонам.

Эти люди воспользовались уязвимостью в системе и сумели вывести около $3 млн из собственных средств Kraken, а не из средств других клиентов. В первоначальном отчете об ошибке не были раскрыты эти незаконные транзакции, и когда Kraken запросил дополнительную информацию, исследователи решили ее не предоставлять.

Я проанализировал ситуацию, и вместо дальнейшего обсуждения инвесторы настояли на личном разговоре с командой развития бизнеса Kraken. Они отказались выделить средства до тех пор, пока Kraken не предоставит оценку потенциальных финансовых последствий, если обнаруженная ошибка будет скрыта. С их точки зрения, этот запрос был расценен как вымогательство, а не этический взлом, как называет Percoco.

Хакерам в белых шляпах, которые являются экспертами по безопасности, нанятыми такими компаниями, как Kraken и Coinbase, через свои программы вознаграждения за обнаружение ошибок, предлагается выявлять и раскрывать уязвимости в обмен на вознаграждение. Правила этих инициатив диктуют, что для выявления уязвимости должен использоваться наименее интрузивный метод, все приобретенные активы должны быть возвращены, а подробные сведения о уязвимости должны быть раскрыты.

Как криптоинвестор, я был впечатлен способностью Kraken преодолевать недавние проблемы. Их начальник службы безопасности Ник Перкоко недавно заявил в своем блоге: «Мы не будем называть имена причастных к этому исследовательских фирм, поскольку они не заслуживают признания за свои действия. Мы рассматриваем эту ситуацию как уголовное дело и сотрудничаем с правоохранительными органами». агентствам, мы благодарны, что эта проблема была доведена до нашего сведения, но помимо этого, мы по-прежнему сосредоточены на решении данной проблемы».

Смотрите также

2024-06-19 20:04