CertiK розкрила причетність до «білого» злому Kraken

Таємним «дослідником безпеки», який виявив вразливість на криптобіржі Kraken і скористався нею, виявилася компанія CertiK.

«CertiK нещодавно виявила низку критичних вразливостей у Kraken, які потенційно могли призвести до збитків на сотні мільйонів доларів», — ідеться в публікації.

Раніше директор з безпеки торговельної платформи Нік Перкоко повідомив, що 9 червня біржа отримала звіт про вразливість у рамках програми Bug Bounty. Однак дослідники не повідомили жодних подробиць, а лише скористалися багом, щоб вивести з Kraken близько $3 млн.

За словами Перкоко, тоді ще публічно невідомі «білі» хакери запросили за розкриття інформації більше грошей, ніж передбачала програма винагород, пославшись на високий ступінь загрози. Представник Kraken звинуватив їх у «вимаганні».

Згідно з постом CertiK, вразливість давала змогу сфабрикувати транзакцію внесення депозиту на рахунок біржі, а потім вивести отримані кошти.

«Гірше того, протягом кількох днів тестування [помилки] не активувалося жодного сповіщення безпеки на біржі. Kraken відреагував і заблокував пробні акаунти тільки через кілька днів після того, як ми офіційно повідомили про інцидент», — заявили в компанії.

Аналітики також доклали скріншот з усіма фейковими депозитами і виведеннями.

Служба безпеки торгової платформи класифікувала вразливість як «критичну» (найвищий рівень) і почала працювати над її усуненням.

Однак, згідно з версією CertiK, група безпеки Kraken «почала погрожувати окремим співробітникам, що виплатить невідповідну кількість криптовалюти в безпідставні терміни навіть без надання адрес для повернення коштів».

Фірма опублікувала графік подій, починаючи з виявлення вразливості 5 червня і закінчуючи «погрозами» з боку Kraken 18 червня. За цей час сторони провели кілька відеоконференцій.

CertiK пообіцяла повернути всі активи, виведені під час тестування вразливості:

«Оскільки Kraken не надала адреси для погашення і неправильно розраховану суму, ми переказуємо кошти на основі наших нотаток на рахунок, до якого біржа зможе отримати доступ».

Аналітики підтвердили, що коштів користувачів не торкнулися. Однак вони занепокоїлися слабкою системою безпеки біржі, яка не відреагувала ні на фейковий депозит, ні на велике виведення коштів.

Раніше біржа OKX розкрила подробиці про серію зломів облікових записів. За даними платформи, хакер підробляв документи і обходив додаткові механізми безпеки на кшталт двофакторної аутентифікації (2FA).

Нагадаємо, 3 червня стало відомо, що зловмисник отримав контроль над обліковим записом китайського трейдера на Binance, не маючи пароля і доступу до 2FA. Після низки угод він вивів активи на $1 млн.

Читайте ForkLog UA в соціальних мережах

Знайшли помилку в тексті? Виділіть її та натисніть CTRL+ENTER

Матеріали за темою

Ми використовуємо файли cookie для покращення якості роботи.

Користуючись сайтом, ви погоджуєтесь з Політикою приватності.

OK