ক্রাকেন বাগটি প্রকাশ করেছে যে বাগটি ‘সুরক্ষা গবেষকদের’ $ 3M শোষণ করার অনুমতি দিয়েছে
ইউএস-ভিত্তিক এক্সচেঞ্জ ক্রাকেন তার ট্রেজারিতে প্রায় 3 মিলিয়ন ডলার হারিয়েছিল একটি নামবিহীন সুরক্ষা সংস্থা তার প্ল্যা
ইউএস-ভিত্তিক এক্সচেঞ্জ ক্রাকেন তার ট্রেজারিতে প্রায় 3 মিলিয়ন ডলার হারিয়েছিল একটি নামবিহীন সুরক্ষা সংস্থা তার প্ল্যাটফর্মে একটি বাগ কাজে লাগানোর পরে। চিফ সিকিউরিটি অফিসার নিক পারকোকো এক্স -এর একটি পোস্টে এটি প্রকাশ করেছেন, উল্লেখ করে যে সুরক্ষা সংস্থা তহবিল ফেরত দিতে অস্বীকার করেছে এবং এখন অনুগ্রহ হিসাবে উচ্চতর অর্থ প্রদানের দাবি করছে।
জবাবে, ক্রাকেন বিষয়টি আইন প্রয়োগকারী সংস্থাগুলিতে আরও বাড়িয়ে দিয়েছেন এবং এটিকে অপরাধী হিসাবে বিবেচনা করবেন। তবে, ব্যবহারকারীদের চিন্তা করার দরকার নেই, কারণ এক্সচেঞ্জ দাবি করেছে যে এটি ইতিমধ্যে দুর্বলতার সমাধান করেছে এবং কোনও ব্যবহারকারীর অ্যাকাউন্ট প্রভাবিত হয়নি।
ক্রাকেন বাগ অর্থ মুদ্রণের অনুমতি দেয়
পারকোকোর মতে, একজন নিরাপত্তা গবেষক ক্রাকেনকে তার বাগ বাউন্টি প্রোগ্রামের মাধ্যমে ৯ ই জুন একটি সমালোচনামূলক বাগ সম্পর্কে সতর্ক করেছিলেন। আমানত শেষ না করে তহবিল। একজন দূষিত আক্রমণকারী এই শোষণের মাধ্যমে লক্ষ লক্ষ পাতলা বাতাসের বাইরে মুদ্রণ করতে পারে।
তিনি ব্যাখ্যা করেছিলেন:
“আমরা একটি বিচ্ছিন্ন বাগ আবিষ্কার করেছি। এটি সঠিক পরিস্থিতিতে একটি দূষিত আক্রমণকারীকে আমাদের প্ল্যাটফর্মে আমানত শুরু করতে এবং আমানত সম্পূর্ণ না করে তাদের অ্যাকাউন্টে তহবিল গ্রহণের অনুমতি দেয়। "
অভ্যন্তরীণ সুরক্ষা দলটি 47 মিনিটের মধ্যে বিষয়টি প্রশমিত করে এবং কয়েক ঘন্টা পরে এটি সম্পূর্ণরূপে স্থির করে। যাইহোক, ফার্মটি আবিষ্কার করেছে যে বাগটি তার ইউএক্সের সাম্প্রতিক পরিবর্তনের ফলে ঘটে যা ক্লায়েন্ট অ্যাকাউন্টগুলিকে তাদের সম্পদ সাফ করার আগে জমা দেওয়ার অনুমতি দেয়। যদিও তাত্ক্ষণিক ট্রেডিং সক্ষম করতে পরিবর্তনটি সংহত করা হয়েছিল, তবে এটি এই ধরণের ঝুঁকির বিরুদ্ধে পুরোপুরি পরীক্ষা করা হয়নি।
যাইহোক, পারকোকো যোগ করেছেন যে ঘটনাটি ব্যবহারকারীদের সম্পদগুলিকে প্রভাবিত করে না এবং দুর্বলতার শোষণগুলি কেবল ক্রাকেন ট্রেজারিকে প্রভাবিত করে।
সুরক্ষা গবেষকরা অপরাধী
এদিকে, দুর্বলতার বিশ্লেষণে দেখা গেছে যে তিনটি অ্যাকাউন্ট ত্রুটিটি কাজে লাগিয়েছে এবং এই অ্যাকাউন্টগুলির মধ্যে একটি সুরক্ষা গবেষকের নামে নিবন্ধিত ছিল যারা প্রাথমিকভাবে এক্সচেঞ্জের সাথে যোগাযোগ করেছিল।
যদিও গবেষকের অ্যাকাউন্টে ত্রুটিগুলি কেবল নিজের credit ণ দেওয়ার জন্য ব্যবহার করেছিল $ 4, বাগটি বাস্তব প্রমাণ প্রমাণ করার জন্য যথেষ্ট, অন্য দুটি অ্যাকাউন্ট একই শোষণ ব্যবহার করে তাদের ক্রাকেন অ্যাকাউন্টগুলি থেকে প্রায় 3 মিলিয়ন ডলার প্রত্যাহার করে নিয়েছিল। মজার বিষয় হল, এই অ্যাকাউন্টগুলি সুরক্ষা গবেষকের সহযোগীদের সাথে যুক্ত ছিল।
ক্রেকেন ব্যাখ্যা করেছিলেন যে তহবিলগুলি ফিরিয়ে আনার চেষ্টাগুলি নিরর্থক হয়েছে কারণ গবেষকরা এখন উচ্চতর অর্থ প্রদানের জন্য জিজ্ঞাসা করছেন যা তারা বিশ্বাস করে যে বাগের ঝুঁকির সাথে সামঞ্জস্যপূর্ণ।
পারকোকো এটিকে চাঁদাবাজির একটি কাজ হিসাবে বর্ণনা করেছেন, যা বাগ বাউন্টি প্রোগ্রামের পিছনে নীতিটির বিরোধিতা করে। তিনি আরও যোগ করেছেন যে এই নিয়মগুলি লঙ্ঘন করা যা হোয়াইট হ্যাট হ্যাকারদের হ্যাক করার লাইসেন্স দেয় তা সুরক্ষা গবেষকদের অপরাধীদের তৈরি করে এবং এক্সচেঞ্জ তাদেরকে এরকম আচরণ করছে।
