Kraken tiết lộ đã bị khai thác gần 3 triệu đô la trong lỗi hiện đã được khắc phục

Kraken tiết lộ gần 3 triệu đô la đã bị lấy từ ví của mình sau một cuộc tấn công liên quan đến lỗi đã được khắc phục.

Theo Giám đốc An ninh của Kraken, Nick Percoco, sàn giao dịch tiền điện tử đã nhận được cảnh báo từ chương trình thưởng lỗi vào ngày 9 tháng 6. Cảnh báo này đã cảnh báo về một lỗi "cực kỳ nghiêm trọng", cho phép kẻ tấn công tăng số dư của họ trên nền tảng một cách giả tạo.

Percoco cho biết mặc dù báo cáo thiếu chi tiết cụ thể, họ đã xem xét vấn đề và phát hiện ra một lỗi cô lập cho phép kẻ tấn công độc hại khởi tạo một khoản tiền gửi lên nền tảng và nhận tiền vào tài khoản của họ mà không hoàn thành đầy đủ quá trình gửi tiền. Ông lưu ý rằng điều này chỉ xảy ra trong một số trường hợp cụ thể.

Mặc dù không có tài sản của khách hàng nào gặp rủi ro, ông tuyên bố, lỗi này xuất phát từ một sai sót trong thay đổi UX gần đây, đã ghi nhận tài khoản của khách hàng trước khi các khoản tiền gửi tài sản được hoàn tất, cho phép kẻ tấn công độc hại "in tài sản" trong tài khoản Kraken của họ "trong một khoảng thời gian," Percoco nói.

Bị khai thác trước khi báo cáo lỗi

Theo Percoco, lỗi đã được khắc phục hoàn toàn trong vòng vài giờ. Tuy nhiên, một cuộc điều tra sau đó tiết lộ rằng nó đã bị khai thác bởi ba tài khoản trong vòng vài ngày của nhau, ông nói.

Percoco tuyên bố rằng một trong những tài khoản đã được xác minh danh tính (KYC) với cá nhân phát hiện ra lỗi và đã tuyên bố là một "nhà nghiên cứu bảo mật." Cá nhân này được cho là đã sử dụng lỗi để ghi nhận tài khoản của họ với 4 đô la — đủ để chứng minh lỗi, nộp báo cáo lỗi và nhận phần thưởng lớn, Percoco nói.

Tuy nhiên, Giám đốc An ninh của Kraken cáo buộc rằng nhà nghiên cứu đã tiết lộ lỗi cho hai cá nhân khác mà họ làm việc cùng, những người sau đó đã rút số tiền lớn hơn nhiều từ tài khoản Kraken của họ, tổng cộng gần 3 triệu đô la. "Đây là từ kho bạc của Kraken, không phải tài sản của khách hàng khác," Percoco làm rõ.

Percoco cho biết Kraken đã yêu cầu một báo cáo đầy đủ về các hoạt động của họ và yêu cầu hoàn trả số tiền. Tuy nhiên, các nhà nghiên cứu được cho là đã từ chối trả lại bất kỳ khoản tiền nào cho đến khi Kraken tiết lộ quy mô tiềm năng của cuộc tấn công nếu họ không tiết lộ lỗi. "Đây không phải là hacking mũ trắng, đây là tống tiền!" Percoco nói.

Percoco cho biết sàn giao dịch tiền điện tử đã bị các nhà nghiên cứu cáo buộc là "không hợp lý" và "không chuyên nghiệp" trong các yêu cầu của mình, thêm rằng mặc dù Kraken sẽ không tiết lộ công ty nghiên cứu liên quan, họ sẽ coi đây là một vụ án hình sự do vi phạm các điều khoản thưởng lỗi của mình.

"Chúng tôi sẽ không tiết lộ công ty nghiên cứu này vì họ không xứng đáng được công nhận cho hành động của họ. Chúng tôi đang coi đây là một vụ án hình sự và đang phối hợp với các cơ quan thực thi pháp luật tương ứng," Percoco nói.