Криптобиржа Kraken расказала о баге, который позволил исследователю безопасности присвоить $3 млн.
После снятия $3млн. исследователи стали требовать повысить вознаграждение за найденный баг по программе bug bounty шантажируя, что только в этом случае биржа получит назад средства
Криптобиржа Kraken потеряла почти $3 миллиона в своем казначействе после того, как неизвестная компания по безопасности злоупотребила ошибкой на своей платформе. Главный специалист по безопасности Ник Перкоко сообщил об этом в посте на X, заявив, что компания по безопасности отказалась вернуть средства и теперь требует более высокую выплату в качестве вознаграждения за обнаружение ошибки.
В ответ Kraken подняла этот вопрос перед правоохранительными органами и рассматривает его как уголовное дело. Однако пользователям не о чем беспокоиться, поскольку обмен утверждает, что уже устранил уязвимость и ни один пользовательский аккаунт не был затронут.
Ошибка Kraken позволяла печатать деньги
По словам Перкоко, исследователь безопасности предупредил Kraken о критической ошибке через свою программу "Bug Bounty" 9 июня. После внутреннего расследования команда по безопасности обнаружила уязвимость, которая позволяла злонамеренному пользователю начать депозит на свой счет Kraken и получить средства без завершения депозита. Злоумышленник мог бы напечатать миллионы из воздуха с помощью этой уязвимости.
Он объяснил:
"Мы обнаружили изолированную ошибку. Это позволило злонамеренному пользователю, при определенных обстоятельствах, начать депозит на нашу платформу и получить средства на свой счет без полного завершения депозита."
Внутренняя команда безопасности решила проблему всего за 47 минут и полностью исправила ее через несколько часов. Однако выяснилось, что ошибка была вызвана недавним изменением в пользовательском интерфейсе, который позволил клиентским счетам быть кредитованными до того, как их активы были зачислены. Хотя это изменение было интегрировано для обеспечения мгновенной торговли, оно не было полностью протестировано на риск такого рода.
Однако Перкоко добавил, что инцидент не повлиял на активы пользователей, а эксплуатация уязвимости затронула только казначейство Kraken.
Исследователи безопасности являются преступниками
Кроме того, анализ уязвимости показал, что три счета использовали эту ошибку, и один из этих счетов был зарегистрирован под именем исследователя безопасности, который изначально связался с биржей.
Хотя учетная запись исследователя использовала ошибку только для зачисления себе $4, достаточно, чтобы доказать существование ошибки, два других счета сняли почти $3 миллиона со своих счетов Kraken, используя ту же уязвимость. Интересно, что эти счета были связаны с партнерами исследователя безопасности.
Kraken объяснил, что его попытки вернуть средства оказались безуспешными, так как исследователи теперь требуют более высокую оплату, которую они считают соответствующей риску ошибки.
Перкоко описал это как акт вымогательства, противоречащий принципу программы "Bug Bounty", согласно которой белые хакеры имеют право взламывать. Он добавил, что нарушение этих правил, которые дают белым шляпам хакерам лицензию на взлом, делает исследователей преступниками, и биржа рассматривает их как таковых.