CertiK розкрила причетність до «білого» злому Kraken
Таємним «дослідником безпеки», який виявив вразливість на криптобіржі Kraken і скористався нею, виявилася компанія CertiK.
CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.
— CertiK (@CertiK) June 19, 2024
Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
«CertiK нещодавно виявила низку критичних вразливостей у Kraken, які потенційно могли призвести до збитків на сотні мільйонів доларів», — ідеться в публікації.
Раніше директор з безпеки торговельної платформи Нік Перкоко повідомив, що 9 червня біржа отримала звіт про вразливість у рамках програми Bug Bounty. Однак дослідники не повідомили жодних подробиць, а лише скористалися багом, щоб вивести з Kraken близько $3 млн.
За словами Перкоко, тоді ще публічно невідомі «білі» хакери запросили за розкриття інформації більше грошей, ніж передбачала програма винагород, пославшись на високий ступінь загрози. Представник Kraken звинуватив їх у «вимаганні».
Згідно з постом CertiK, вразливість давала змогу сфабрикувати транзакцію внесення депозиту на рахунок біржі, а потім вивести отримані кошти.
«Гірше того, протягом кількох днів тестування [помилки] не активувалося жодного сповіщення безпеки на біржі. Kraken відреагував і заблокував пробні акаунти тільки через кілька днів після того, як ми офіційно повідомили про інцидент», — заявили в компанії.
Аналітики також доклали скріншот з усіма фейковими депозитами і виведеннями.
Transparency is important to the community. We are disclosing all testing deposit transactions here: pic.twitter.com/8RpzRX42E9
— CertiK (@CertiK) June 19, 2024
Служба безпеки торгової платформи класифікувала вразливість як «критичну» (найвищий рівень) і почала працювати над її усуненням.
Однак, згідно з версією CertiK, група безпеки Kraken «почала погрожувати окремим співробітникам, що виплатить невідповідну кількість криптовалюти в безпідставні терміни навіть без надання адрес для повернення коштів».
Фірма опублікувала графік подій, починаючи з виявлення вразливості 5 червня і закінчуючи «погрозами» з боку Kraken 18 червня. За цей час сторони провели кілька відеоконференцій.
CertiK пообіцяла повернути всі активи, виведені під час тестування вразливості:
«Оскільки Kraken не надала адреси для погашення і неправильно розраховану суму, ми переказуємо кошти на основі наших нотаток на рахунок, до якого біржа зможе отримати доступ».
Аналітики підтвердили, що коштів користувачів не торкнулися. Однак вони занепокоїлися слабкою системою безпеки біржі, яка не відреагувала ні на фейковий депозит, ні на велике виведення коштів.
Раніше біржа OKX розкрила подробиці про серію зломів облікових записів. За даними платформи, хакер підробляв документи і обходив додаткові механізми безпеки на кшталт двофакторної аутентифікації (2FA).
Нагадаємо, 3 червня стало відомо, що зловмисник отримав контроль над обліковим записом китайського трейдера на Binance, не маючи пароля і доступу до 2FA. Після низки угод він вивів активи на $1 млн.