Handelsplattformen Kraken for kryptovaluta har rapportert om et angrep for mindre enn fjorten dager siden som så den tape nesten 3 millioner dollar i et feilrelatert angrep.
Hendelsen fremhever usikkerheten og sårbarhetene som fortsetter å infisere bransjen.
Kraken tapte $ 3 millioner dollar i et angrep
Kraken avslørte et feilangrep 9. juni, hvor angriperen stakk av med nesten 3 millioner dollar. Basert på rapporten delt av Kraken Chief Security Officer Nick Percoco, mottok børsen et varsel om “bug bounty”-program.
9. juni 2024 mottok vi et Bug Bounty-programvarsel fra en sikkerhetsforsker. Ingen detaljer ble først avslørt, men e-posten deres hevdet å finne en “ekstremt kritisk” feil som tillot dem å kunstig blåse opp balansen på plattformen vår, “bemerket Percoco i et innlegg onsdag.
CSO bemerket at en ytterligere granskning avslørte en isolert feil som ga angriperen ufortjente privilegier. Spesielt kunne de starte et innskudd på Kraken Exchange og motta midler på kontoen sin selv om de ikke hadde fullført innskuddet fullt ut.
Les mer: Kraken Review 2024: Sikkerhet og funksjoner
En rettsmedisinsk analyse avslørte en sårbarhet i en nylig UX-endring på Krakens plattform. Denne feilen tillot en ondsinnet angriper å “skrive ut eiendeler” på kontoen sin i en periode. Det er viktig at ingen klientmidler ble kompromittert, og problemet er løst. Imidlertid oppdaget en påfølgende sonde at tre kontoer allerede hadde utnyttet feilen innen få dager etter hverandre.
“Etter å ha lappet risikoen, undersøkte vi situasjonen grundig og oppdaget raskt at 3 kontoer hadde utnyttet denne feilen innen få dager etter hverandre. Da vi gravde dypere, la vi merke til at en konto var KYC’d til en person som hevdet å være en sikkerhetsforsker, “sa Percoco.
En sikkerhetsforsker oppdaget en feil i Krakens finansieringssystem og krediterte kontoen sin med $ 4 i kryptovaluta. Dette beløpet var nok til å demonstrere feilen og sende inn en “bug bounty”-rapport, som ville ha tjent en betydelig belønning under Krakens program.
I stedet delte forskeren feilen med to kolleger, som utnyttet den til å generere mye større summer på uredelig vis. Dette samarbeidet førte til et tap på nesten 3 millioner dollar, tatt fra Krakens statskasser i stedet for klientmidler.
Les mer: Topp 5 feil i kryptosikkerhet og hvordan du kan unngå dem
Hendelsen kulminerte i et tilfelle av utpressing etter at kryptohandelsplattformen prøvde å gjenopprette midlene fra forskerne. Kraken ba om en fullstendig redegjørelse for forskernes aktiviteter, inkludert konseptbeviset som ble brukt til å lage aktiviteten på kjeden og ordninger for å returnere de tilbaketrukne midlene.
– Disse sikkerhetsforskerne nektet. I stedet krevde de en samtale med sitt forretningsutviklingsteam og har ikke blitt enige om å returnere noen midler før vi gir et spekulert beløp på $ som denne feilen kunne ha forårsaket hvis de ikke hadde avslørt det. Dette er ikke white-hat-hacking, det er utpressing!» Percoco mislikte.
Kraken har derfor tydd til å behandle hendelsen som en straffesak, og forplikter seg til å koordinere med politiet. Analyseselskapet er fortsatt ikke offentliggjort.
Trusted
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
