Через виявлену помилку, яку вже виправили, з гаманців криптобіржі Kraken вдалось зняти мільйони доларів
Криптовалютна біржа Kraken 9 червня отримала сповіщення від програми винагороди за виправлення помилок. В ньому йшлось про «надзвичайно критичний» баг, який дозволяв зловмисникам штучно збільшувати свій баланс на платформі.
Як розповів директор з безпеки Kraken Нік Перкоко, хоча повідомлення не містило конкретики, компанія вивчила проблему та дійсно виявила помилку. Вона дозволяла шахраям ініціювати депозит на біржі і отримати кошти на свій рахунок, не завершуючи депозит повністю. Однак це відбувалося лише за певних обставин.
Хоча клієнтські активи не були під загрозою, експлойт виник через недолік нещодавніх змін у користувацькому інтерфейсі. Вони зараховували кошти на рахунки клієнтів до того, як депозити були повністю зараховані. Це дозволяло зловмисникам ефективно «друкувати активи» на своєму акаунті в Kraken протягом певного часу.
Читайте також: Kraken запустила криптогаманець: які блокчейни підтримує
За словами Перкоко, помилку було повністю виправлено протягом кількох годин. Однак подальше розслідування показало, що баг вже використали три облікові записи з інтервалом у кілька днів один від одного.
Один з облікових записів належав людині, яка виявила проблему і назвалася «дослідником безпеки». Вона зарахувала на свій рахунок лише $4, щоб довести наявність помилки, подати звіт про винагороду за баг і отримати легально значні кошти.
Водночас ця людина також розповіла про помилку двом іншим користувачам, які згодом зняли з рахунків Kraken $3 млн. Однак Перкоко завірив, що це були не активи клієнтів, а кошти зі скарбниці криптобіржі.
Після цього в Kraken вимагали повного звіту про їхню діяльність і повернення коштів. Однак ці особи нібито відмовилися повернути будь-які кошти, доки Kraken не розкриє потенційний розмір експлойту, якщо вони не розкриють помилку.
Нагадаємо, у травні криптовалютна спільнота зазнала нищівних збитків від хакерів, що призвело до найвищого рівня втрат у 2024 році.
Згідно зі звітом компанії Peckshield, що займається безпекою блокчейну, у травні хакери викрали $385 млн, що свідчить про витонченість цих зловмисників і постійну потребу в ефективних заходах безпеки в індустрії цифрових активів.
Ознайомтеся з іншими популярними матеріалами:
Скільки людей у світі володіють BTC на суму понад $1
Трейдер заробив $42 млн на 3 криптовалютах: що в його портфелі
Mastercard запустив пілотний сервіс криптовалютних переказів
За матеріалами The Block