Kraken эксплуатировался почти на 3 миллиона долларов из-за ошибки
Kraken, известная криптовалютная биржа, недавно раскрыла информацию о том, что ошибка позволила людям вносить деньги на свои счета, фактически не завершая депозит. Эта ошибка была использована для вывода почти 3 миллионов долларов из казначейства Kraken до того, как она была исправлена. Директор по безопасности Kraken (CSO) поделился подробностями об этом инциденте.
Обнаружение ошибки
9 июня программа вознаграждения за ошибки Kraken получила предупреждение о «чрезвычайно критической» ошибке. Это предупреждение было отправлено исследователем в области безопасности, который обнаружил серьезный недостаток. По словам CSO Kraken Ника Перкоко, эта ошибка позволила кому-то искусственно увеличить баланс своего счета. Это означало, что они могли инициировать депозит и получать средства, не завершая процесс депозита.
Как работала ошибка
Ошибка была вызвана недавним изменением в дизайне пользовательского опыта (UX) платформы Kraken. Недостаток сделал возможным зачисление средств на счета до того, как депозиты активов будут полностью очищены. Это позволило злоумышленникам временно «печатать активы» на своих счетах. Однако Перкоко заверил, что ни один из клиентских активов не подвергался риску; проблема заключалась в собственных фондах казначейства Kraken.
Эксплуатация до исправления
Kraken быстро исправил ошибку в течение нескольких часов после оповещения. Однако расследование показало, что в течение нескольких дней три учетные записи уже использовали эту ошибку. Одна из этих учетных записей принадлежала исследователю по безопасности, который нашел ошибку. Этот человек утверждал, что тестирует недостаток, зачисляя на свой счет 4 доллара. Затем они подали отчет о премировании за ошибку и потребовали вознаграждение.
Более крупная эксплуатация со стороны партнеров
Ситуация стала более серьезной, когда выяснилось, что исследователь поделился ошибкой с двумя другими лицами. Эти люди использовали ошибку для вывода гораздо больших сумм, в общей сложности почти 3 миллиона долларов, из казначейства Kraken. Перкоко пояснил, что эти деньги поступили из фондов Kraken, а не из активов клиентов.
Ответ Kraken
Kraken попросила исследователей вернуть средства и предоставить полный отчет об их деятельности. Однако исследователи отказались возвращать деньги, если Kraken не раскроет потенциальный размер уязвимости. Перкоко назвал это требование вымогательством, заявив, что это не акт этичного взлома.
Правовые действия и меры безопасности
В связи с нарушением условий программы вознаграждения за ошибки Kraken решила рассматривать это дело как уголовное. Они решили не разглашать название участвовавшей исследовательской фирмы, полагая, что она не заслуживает признания. Вместо этого Kraken координировал свои действия с правоохранительными органами для разрешения ситуации.
Важность программ вознаграждения за ошибки
Этот инцидент подчеркивает важность программ вознаграждения за ошибки для выявления и устранения уязвимостей. Программы вознаграждения за ошибки предназначены для вознаграждения исследователей, которые находят и сообщают об ошибках. Однако это также показывает потенциальные риски, когда исследователи не следуют этическим принципам.
Защита криптовалютных бирж
Криптовалютные биржи, такие как Kraken, должны постоянно совершенствовать свои меры безопасности, чтобы защитить себя от таких эксплойтов. Это включает в себя тщательное тестирование новых функций и быструю реакцию на любые заявленные проблемы. Поступая таким образом, они могут защитить свои платформы и сохранить доверие своих пользователей.
Недавний инцидент с эксплуатацией ошибки в Kraken служит напоминанием о проблемах, с которыми сталкиваются криптовалютные биржи. Почти 3 миллиона долларов было изъято у казначейства, Kraken быстро исправил ошибку и теперь предпринимает судебные действия против виновных. Этот случай подчеркивает важность надежных мер безопасности и этичной практики в криптоиндустрии.
