Баг-хантери вивели $3 млн із Kraken завдяки «екстремально критичній» уразливості
Криптобіржа Kraken усунула небезпечну вразливість, яка давала змогу штучно завищити, а потім спустошити користувацький баланс.
Kraken Security Update:
— Nick Percoco (@c7five) June 19, 2024
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
За словами директора з безпеки торгової платформи Ніка Перкоко, 9 червня компанія отримала звіт про вразливість у рамках програми Bug Bounty.
Дослідник виявив «екстремально критичну» помилку, проте не повідомив жодних подробиць, розповів топ-менеджер.
«Через кілька хвилин ми виявили ізольований баг. Він давав змогу зловмисникам за певних обставин ініціювати депозит на нашу платформу й отримати кошти на свій рахунок, не завершивши транзакцію повністю», — пояснив Перкоко.
Команда Kraken усунула вразливість приблизно за годину, провівши аналіз наслідків. Голова відділу з безпеки запевнив, що кошти користувачів не постраждали.
Однак біржа виявила три акаунти, які встигли скористатися зломом. Один обліковий запис із KYC належав користувачеві, який повідомив про баг через Bug Bounty.
«Ця людина виявила помилку в нашій системі депозитів і скористалася нею, щоб поповнити свій рахунок на $4 у криптовалюті. Цього було б достатньо, щоб довести помилку, надіслати нашій команді звіт і отримати досить значну винагороду відповідно до умов нашої програми», — зазначив Перкоко.
Однак користувач розкрив вразливість двом іншим спільникам, заявив представник Kraken. Зрештою вони за допомогою уразливості вивели близько $3 млн, що належать казначейству біржі.
Після цього торгова платформа запросила повний звіт про помилку у дослідників, які виявилися неназваною аналітичною фірмою з безпеки. Однак вони відмовилися ділитися даними і запросили більше грошей як нагороду.
«Вони зажадали дзвінка своїй команді з розвитку бізнесу (тобто своїм торговим представникам) і не погодилися повернути будь-які кошти, поки ми не надішлемо їм певну суму в доларах, яка б відображала потенційний збиток від розкриття атаки. Це не хакерство, це вимагання», — написав глава кіберзахисту Kraken.
Раніше біржа OKX розкрила подробиці про серію зломів облікових записів. За даними платформи, хакер підробляв документи і обходив додаткові механізми безпеки на кшталт двофакторної аутентифікації (2FA).
Нагадаємо, 3 червня стало відомо, що зловмисник отримав контроль над обліковим записом китайського трейдера на Binance, не маючи пароля і доступу до 2FA. Після низки угод він вивів активи на $1 млн.