Криптo биржа Kraken заявила, что «исследователи безопасности», обнаружившие уязвимость в платформе, обратились к «вымогательству» после вывода около 3 миллионов долларов из казны биржи.

Ник Перкоко, директор по безопасности Kraken, сообщил в сообщении на платформе социальных сетей X (ранее Twitter), что 9 июня фирма получила предупреждение от исследователя безопасности о «программе вознаграждения за ошибки» об уязвимости, которая позволяет пользователям искусственно завышать свой баланс. . Ошибка «позволяла злоумышленнику при определенных обстоятельствах инициировать депозит на нашу платформу и получить средства на свой счет, не завершив депозит полностью», — добавил Перкоко.

После получения отчета Kraken быстро устранил проблему, и средства пользователей не пострадали, отметили в Percoco.

То, что произошло после, вызвало тревогу у команды Кракена.

Исследователь безопасности, обнаружив ошибку, предположительно сообщил о ней двум другим лицам, которые затем «обманным путем» сняли почти 3 миллиона долларов со своих счетов в Kraken. «Это были средства казначейства Kraken, а не другие клиентские активы», — сказал Перкоко.

В первоначальном отчете об ошибке T упоминались транзакции двух других лиц, и когда Kraken запросил более подробную информацию об их деятельности, они отказались.

«Вместо этого они потребовали звонка своей команде по развитию бизнеса (т. е. своим торговым представителям) и не согласились вернуть какие-либо средства, пока мы не предоставим предполагаемую сумму в долларах, которую могла бы вызвать эта ошибка, если бы они ее не раскрыли. - Хакерство, это вымогательство!" Перкоко написал.

Kraken T раскрыл, кто были исследователями, но редактор кода блокчейна Сертик впоследствии сообщил в сообщении в социальной сети , что обнаружил несколько уязвимостей в Криптo .

Certik заявила, что провела «многодневное тестирование», и отметила, что ошибка может быть использована для создания Криптo на миллионы долларов. «Миллионы долларов могут быть переведены на ЛЮБОЙ счет Kraken. Огромное количество сфабрикованной Криптo (стоимостью более 1 миллиона долларов США) может быть снято со счета и конвертировано в действительную криптовалюту. Хуже того, во время многодневного тестирования не было активировано никаких предупреждений. период", - говорится в сообщении.

Однако Сертик сказал, что после первого разговора с Кракеном дела пошли плохо. «Операционная группа безопасности Kraken УГРОЗИЛА отдельным сотрудникам CertiK выплатить НЕСООТВЕТСТВЕННОЕ количество Криптo в НЕОБЫЧНЫЕ сроки, даже БЕЗ предоставления адресов погашения», — добавлено в сообщении X.

Программы Bug Bounty, используемые многими фирмами для усиления своих систем безопасности, приглашают сторонних хакеров, известных как «белые шляпы», находить уязвимости, чтобы компания могла их исправить до того, как ими воспользуется злоумышленник. Конкурент Kraken, Coinbase, имеет аналогичную программу , помогающую предупреждать биржу об уязвимостях.

Чтобы получить вознаграждение, программа Kraken требует, чтобы третья сторона нашла проблему, использовала минимальную сумму, необходимую для доказательства ошибки, вернула активы и предоставила подробную информацию об уязвимости, сообщил Kraken в своем блоге , добавив, что, поскольку исследователи безопасности T Социальные сети эти правила, они T получат награду.

«Мы добросовестно привлекли этих исследователей и, в соответствии с десятилетним опытом реализации программы вознаграждения за обнаружение ошибок, предложили значительную награду за их усилия. Мы разочарованы этим опытом и сейчас работаем с правоохранительными органами, чтобы вернуть активы этих исследователей безопасности», — сообщил CoinDesk представитель Kraken.

Читать дальше: Вашему Криптo нужен шериф, а не охотник за головами

ОБНОВЛЕНИЕ (19 июня, 18:30 UTC): обновляет историю, добавляя комментарии Сертика.