Krypto-handelsplatformen Kraken har rapporteret en udnyttelse for mindre end to uger siden, der så den miste næsten $3 millioner i et angreb relateret til fejl i koden.
Hændelsen fremhæver de usikkerheder og sårbarheder, der fortsat angriber branchen.
Kraken mistede $3 millioner i et angreb
Kraken afslørede et angreb den 9. juni, hvor den ondsindede aktør slap væk med næsten 3 millioner dollars. Baseret på rapporten, der blev delt af Krakens sikkerhedschef Nick Percoco, modtog børsen en fejl bounty-program alarm.
“Den 9. juni 2024 modtog vi en fejl Bounty-program alarm fra en sikkerhedsresearcher. Ingen detaljer blev oprindeligt afsløret, men deres e-mail hævdede at finde en “ekstremt kritisk” fejl, der gjorde det muligt for dem kunstigt at oppuste deres balance på vores platform,” bemærkede Percoco i et indlæg onsdag.
CSO’en bemærkede, at en yderligere undersøgelse afslørede en isoleret fejl, der gav den ondsindede aktør uretfærdige privilegier. Specifikt kunne de starte en indbetaling på Kraken Exchange og modtage penge på deres konto, selvom de ikke havde gennemført indbetalingen fuldt ud.
Læs mere: Kraken Review 2024: Sikkerhed og funktioner
En analyse afslørede en sårbarhed i en nylig UX-ændring på Krakens platform. Fejlen gjorde det muligt for en ondsindet hacker at “udskrive aktiver” på deres konto i en periode. Det er vigtigt, at ingen kundeaktiver blev kompromitteret, og problemet er løst. En efterfølgende undersøgelse opdagede imidlertid, at tre konti allerede havde udnyttet fejlen inden for få dage efter hinanden.
“Efter at have fixet risikoen undersøgte vi situationen grundigt og opdagede hurtigt, at 3 konti havde udnyttet denne fejl inden for få dage efter hinanden. Da vi gravede dybere, bemærkede vi, at en konto var KYC’d til en person, der hævdede at være en sikkerhedsresearcher, “sagde Percoco.
En sikkerhedsresearcher opdagede en fejl i Krakens finansieringssystem og krediterede deres konto med $4 i krypto. Det beløb var nok til at demonstrere fejlen og indgive en fejl bounty-rapport, som ville have tjent en betydelig belønning under Krakens program.
I stedet delte researcheren fejlen med to kolleger, der udnyttede den til at generere meget større summer. Denne ordning førte til et tab på næsten 3 millioner dollars, taget fra Krakens beholdninger snarere end kundeaktiver.
Læs mere: Top 5 fejl i kryptosikkerhed og hvordan man undgår dem
Hændelsen kulminerede i et tilfælde af afpresning, efter at kryptohandelsplatformen forsøgte at inddrive midlerne fra researcherne. Kraken anmodede om en fuldstændig redegørelse for deres aktiviteter, herunder proof of concept, der blev brugt til at skabe on-chain-aktiviteten og ordninger for at returnere de hævede midler.
“Disse sikkerhedsresearchere nægtede. I stedet krævede de et opkald med deres forretningsudviklingsteam og har ikke accepteret at returnere nogen midler, før vi giver et spekuleret $-beløb, som fejlen kunne have forårsaget, hvis de ikke havde afsløret det. Dette er ikke white-hat hacking, det er afpresning! Percoco ærgrede sig.
Kraken har derfor tyet til at behandle hændelsen som en straffesag og forpligtet sig til at koordinere med retshåndhævelsen. Forskningsfirmaet forbliver anonymt.
Trusted
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.
