Kraken chịu thiệt hại gần 3 triệu đô la do lỗi hệ thống
Kraken, một sàn giao dịch tiền mã hóa nổi tiếng, mới đây đã tiết lộ về một lỗi hệ thống cho phép mọi người gửi tiền vào tài khoản của họ mà không cần thực hiện giao dịch gửi tiền. Lỗi này đã bị khai thác để lấy trộm gần 3 triệu đô la từ kho bạc của Kraken trước khi được khắc phục. Giám đốc An ninh thông tin (CSO) của Kraken đã chia sẻ thông tin chi tiết về sự cố này.
Phát hiện ra lỗi
Vào ngày 9 tháng 6, chương trình tiền thưởng dành cho người tìm ra lỗi của Kraken đã nhận được cảnh báo về một lỗi “cực kỳ nghiêm trọng”. Cảnh báo này được gửi bởi một nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng. Theo CSO Nick Percoco của Kraken, lỗi này cho phép ai đó thổi phồng số dư tài khoản của mình một cách giả tạo. Điều này có nghĩa là họ có thể bắt đầu gửi tiền và nhận tiền mà không cần hoàn tất quy trình gửi tiền.
Lỗi hoạt động như thế nào
Lỗi này là do một thay đổi gần đây trong thiết kế Trải nghiệm người dùng (UX) của nền tảng Kraken. Lỗ hổng này giúp các tài khoản được ghi có trước khi tiền gửi tài sản được xóa hoàn toàn. Điều này cho phép những kẻ tấn công có thể “in tiền” tạm thời vào tài khoản của họ. Tuy nhiên, Percoco khẳng định rằng không có tài sản nào của khách hàng bị đe dọa, vấn đề nằm ở nguồn tiền của chính Kraken.
Khai thác trước khi sửa lỗi
Kraken đã nhanh chóng sửa lỗi trong vòng vài giờ sau khi nhận được cảnh báo. Tuy nhiên, một cuộc điều tra đã tiết lộ rằng có ba tài khoản đã khai thác lỗi này chỉ trong vòng vài ngày. Một trong những tài khoản này thuộc về nhà nghiên cứu bảo mật đã tìm ra lỗi. Người này đã dùng tài khoản với số tiền 4 đô la để kiểm tra lỗi. Sau đó, họ đã nộp báo cáo tiền thưởng dành cho người tìm ra lỗi và yêu cầu trả thưởng.
Những cộng sự khai thác lỗi với mức độ lớn hơn
Tình hình trở nên nghiêm trọng hơn khi phát hiện ra rằng nhà nghiên cứu đã chia sẻ lỗi này với hai người khác. Những người này đã lợi dụng lỗi này để rút ra các khoản tiền lớn hơn nhiều, tổng cộng gần 3 triệu đô la từ kho bạc của Kraken. Percoco giải thích rằng số tiền này đến từ tiền của Kraken chứ không phải từ tiền của khách hàng.
Phản hồi của Kraken
Kraken đã yêu cầu những nhà nghiên cứu trả lại tiền và cung cấp một báo cáo đầy đủ về các hoạt động của họ. Tuy nhiên, các nhà nghiên cứu đã từ chối trả lại tiền trừ khi Kraken tiết lộ quy mô tiềm ẩn của vụ khai thác. Percoco đã dán nhãn yêu cầu này là tống tiền, khẳng định rằng đó không phải là hành động hack mũ trắng.
Hành động pháp lý và biện pháp bảo mật
Do vi phạm các điều khoản tiền thưởng dành cho người tìm ra lỗi, Kraken đã quyết định xử lý vụ việc như một vụ án hình sự. Họ đã chọn không tiết lộ tên của công ty nghiên cứu có liên quan, tin rằng họ không đáng được công nhận. Thay vào đó, Kraken đã phối hợp với các cơ quan thực thi pháp luật để giải quyết tình hình.
Tầm quan trọng của các chương trình tiền thưởng dành cho người tìm ra lỗi
Sự cố này nhấn mạnh tầm quan trọng của các chương trình tiền thưởng dành cho người tìm ra lỗi trong việc xác định và vá các lỗ hổng bảo mật. Các chương trình tiền thưởng dành cho người tìm ra lỗi được thiết kế để thưởng cho các nhà nghiên cứu tìm và báo cáo lỗi. Tuy nhiên, nó cũng cho thấy những rủi ro tiềm ẩn khi các nhà nghiên cứu không tuân theo các nguyên tắc đạo đức.
Bảo vệ các sàn giao dịch tiền mã hóa
Các sàn giao dịch tiền mã hóa như Kraken phải liên tục cải thiện các biện pháp bảo mật của mình để bảo vệ trước các hành vi khai thác như vậy. Điều này bao gồm việc kiểm tra kỹ lưỡng các tính năng mới và phản hồi nhanh chóng đối với mọi vấn đề được báo cáo. Bằng cách này, họ có thể bảo vệ nền tảng của mình và duy trì sự tin tưởng của người dùng.
Sự cố lỗi hệ thống gần đây của Kraken là lời nhắc nhở về những thách thức mà các sàn giao dịch tiền mã hóa phải đối mặt. Kraken, sàn đã mất gần 3 triệu đô la từ kho bạc của mình, đã nhanh chóng hành động để khắc phục lỗi và hiện đang theo đuổi hành động pháp lý chống lại những kẻ chịu trách nhiệm. Vụ việc này nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ và các hoạt động thực hành đạo đức trong ngành tiền mã hóa.