Криптовалютная биржа Kraken заявила, что специалисты по проверке безопасности, обнаружившие уязвимость на платформе, вывели из казны биржи 3 миллиона долларов и затем занялись вымогательством.
Ник Перкоко, директор по безопасности Kraken, сообщил в посте на платформе социальных сетей X (ранее Twitter), что 9 июня фирма получила предупреждение в рамках программы вознаграждения за ошибки от исследователя безопасности об уязвимости, которая позволяет пользователям искусственно завышать свой баланс. Ошибка «позволила злоумышленнику при определенных обстоятельствах внести депозит на нашу платформу и получить средства на свой счет без полного завершения депозита», — добавил Перкоко.
Обновление для системы безопасности Kraken:
9 июня 2024 года мы получили предупреждение об ошибке программы вознаграждений от исследователя безопасности. Изначально никаких подробностей раскрыто не было, но в их электронном письме утверждалось, что они обнаружили “чрезвычайно критическую” ошибку, которая позволила им искусственно увеличить свой баланс на нашей платформе.— Ник Перкоко (@c7five) 19 июня 2024 г.
Получив отчет, Kraken быстро устранила проблему, и никакие средства пользователей не пострадали, отметил Перкоко.
Шантаж и вымогательство
Обнаруживший ошибку пользователь предположительно раскрыл информацию о ней двум другим лицам, которые затем «мошенническим путем» сняли почти 3 миллиона долларов со своих аккаунтов Kraken. «Деньги были из казначейских облигаций Kraken, а не из других активов клиента», — сказал Перкоко.
В первоначальном отчете об ошибке не упоминались транзакции двух других физических лиц, и когда Kraken запросила более подробную информацию о деятельности проверявшего, он отказался его предоставлять.
«Вместо этого он потребовал звонка и не согласился возвращать какие-либо средства, пока мы не предоставим предполагаемую сумму в долларах, которую могла вызвать эта ошибка, если бы они не раскрыли ее. Это не хакерство в белых халатах, это вымогательство!» написал Перкоко.
Kraken не раскрыла, кем был человек, обнаруживший ошибку, но редактор кода блокчейна Certik впоследствии сообщил в посте в социальных сетях, что обнаружил несколько уязвимостей в криптовалютной бирже.
Компания Certik, которая является аудитором смарт-контрактов Web3 и предоставляет набор инструментов для обеспечения безопасности, заявила, что провела «многодневное тестирование», и отметила, что ошибка может быть использована для создания криптовалюты на миллионы долларов. «Миллионы долларов могут быть переведены на ЛЮБОЙ аккаунт Kraken. Огромное количество сфабрикованной криптовалюты (стоимостью более 1 миллиона долларов США) может быть снято со счета и конвертировано в действительные криптовалюты. Что еще хуже, в течение многодневного периода тестирования не было запущено никаких предупреждений «, — говорится в сообщении.
Однако, по словам Certik, после первоначального разговора с Kraken все пошло наперекосяк. «Оперативная группа безопасности Kraken ПРИГРОЗИЛА отдельным сотрудникам CertiK погасить НЕСООТВЕТСТВУЮЩЕЕ количество криптовалюты в НЕОПРАВДАННО короткие сроки даже БЕЗ предоставления адресов погашения», — добавлено в сообщении X.
Что такое программа вознаграждения за ошибки
Программы вознаграждения за ошибки, используемые многими фирмами для укрепления своих систем безопасности, приглашают сторонних хакеров, известных как «белые шляпы», находить уязвимости, чтобы компания могла исправить их до того, как ими воспользуется злоумышленник. У конкурента Kraken, Coinbase, есть аналогичная программа, помогающая предупреждать биржу об уязвимостях.
Для выплаты вознаграждения программа Kraken требует, чтобы третья сторона обнаружила проблему, использовала минимальную сумму, необходимую для доказательства ошибки, вернула активы и предоставила подробную информацию об уязвимости, сказал Kraken в сообщении в блоге, добавив, что, поскольку исследователи безопасности не соблюдали эти правила, они не получат вознаграждение.
«Мы добросовестно привлекли этих исследователей и, в соответствии с десятилетним опытом запуска программы вознаграждения за ошибки, предложили значительное вознаграждение за их усилия. Мы разочарованы этим опытом и сейчас работаем с правоохранительными органами, чтобы вернуть активы у этих исследователей безопасности «, — сказал CoinDesk представитель Kraken.
