Kraken wykorzystany na prawie 3 miliony dolarów z powodu błędu
Kraken, znana giełda kryptowalut, niedawno ujawniła, że błąd pozwalał ludziom wpłacać pieniądze na swoje konta bez faktycznego dokonania wpłaty. Ten błąd został wykorzystany do wyłudzenia prawie 3 milionów dolarów ze skarbca Kraken przed jego naprawieniem. Szef ds. bezpieczeństwa (CSO) firmy Kraken udostępnił szczegóły dotyczące tego incydentu.
Odkrycie błędu
9 czerwca program nagród za błędy firmy Kraken otrzymał alert o „niezwykle krytycznym” błędzie. Ten alert został wysłany przez badacza ds. bezpieczeństwa, który zauważył poważną lukę. Według CSO Kraken, Nicka Percoco, ten błąd pozwolił komuś sztucznie zawyżyć saldo swojego konta. Oznaczało to, że mógł zainicjować wpłatę i otrzymać środki bez kończenia procesu wpłaty.
Jak działał błąd
Błąd był spowodowany niedawną zmianą w projekcie User Experience (UX) platformy Kraken. Luka ta umożliwiła księgowanie środków na kontach przed całkowitym rozliczeniem depozytów aktywów. Pozwoliło to atakującym tymczasowo „drukować aktywa” na swoich kontach. Percoco zapewnił jednak, że żadne aktywa klientów nie są zagrożone; problem dotyczył własnych środków skarbowych Kraken.
Wykorzystanie przed poprawką
Kraken szybko naprawił błąd w ciągu kilku godzin od otrzymania alertu. Jednak śledztwo wykazało, że trzy konta wykorzystały już ten błąd w ciągu kilku dni. Jedno z tych kont należało do badacza ds. bezpieczeństwa, który znalazł błąd. Ta osoba twierdziła, że testuje lukę, zasilając swoje konto kwotą 4 USD. Następnie złożył raport o błędzie i zażądał nagrody.
Większe wykorzystanie przez współpracowników
Sytuacja stała się poważniejsza, gdy okazało się, że badacz udostępnił błąd dwóm innym osobom. Te osoby wykorzystały ten błąd, aby wypłacić znacznie większe kwoty, łącznie prawie 3 miliony dolarów, ze skarbca Kraken. Percoco wyjaśnił, że te pieniądze pochodziły ze środków Kraken, a nie aktywów klientów.
Odpowiedź Kraken
Kraken poprosił badaczy o zwrot środków i przedstawienie pełnego sprawozdania z ich działań. Jednak badacze odmówili zwrotu pieniędzy, chyba że Kraken ujawni potencjalną skalę wykorzystania. Percoco nazwał to żądanie wymuszeniem, stwierdzając, że nie jest to akt białego hakerstwa.
Działania prawne i środki bezpieczeństwa
Ze względu na naruszenie warunków programu nagród za błędy, Kraken postanowił potraktować tę sprawę jako przestępstwo. Postanowili nie ujawniać nazwy zaangażowanej firmy badawczej, uważając, że nie zasługuje ona na uznanie. Zamiast tego, Kraken współpracował z organami ścigania, aby poradzić sobie z sytuacją.
Znaczenie programów nagród za błędy
Ten incydent podkreśla znaczenie programów nagród za błędy w identyfikowaniu i naprawianiu luk w zabezpieczeniach. Programy nagród za błędy mają na celu nagradzanie badaczy, którzy znajdują i zgłaszają błędy. Pokazuje to jednak również potencjalne ryzyko, gdy badacze nie przestrzegają wytycznych etycznych.
Ochrona giełd kryptowalut
Giełdy kryptowalut, takie jak Kraken, muszą stale ulepszać swoje środki bezpieczeństwa, aby chronić się przed takimi atakami. Obejmuje to dokładne testowanie nowych funkcji i szybkie reagowanie na wszelkie zgłaszane problemy. Dzięki temu mogą chronić swoje platformy i utrzymywać zaufanie swoich użytkowników.
Niedawny incydent z błędem w Kraken przypomina o wyzwaniach, przed którymi stoją giełdy kryptowalut. Po tym, jak prawie 3 miliony dolarów zostało zabranych z jego skarbca, Kraken szybko działał, aby naprawić błąd, i obecnie prowadzi postępowanie prawne przeciwko odpowiedzialnym osobom. Ta sprawa podkreśla znaczenie solidnych środków bezpieczeństwa i praktyk etycznych w branży kryptowalut.