Исследователи безопасности украли почти 3 миллиона долларов в криптовалюте у Kraken

Криптобиржа Kraken в среду сообщила, что почти 3 миллиона долларов в криптовалюте были украдены из ее кошельков из-за эксплуатации уязвимости, связанной с нулевым днем, которая теперь была исправлена.

Ник Перкоко, главный специалист по безопасности Kraken, сообщил в социальной сети X (ранее Twitter), что они получили уведомление о «Программе вознаграждений за ошибки» от исследователя безопасности 9 июня 2024 года, уведомляющее их о «крайне критической» уязвимости, которая позволяла любому искусственно увеличивать значение своего баланса на Kraken.

При расследовании отчета Kraken обнаружила изолированную ошибку, которая позволяла злоумышленникам, при определенных обстоятельствах, инициировать депозит на своей платформе и получать средства на свой счет, даже если депозит не удался.

«Чтобы прояснить, активы клиентов никогда не были под угрозой. Однако злонамеренный атакующий мог эффективно напечатать активы на своем счете Kraken в течение некоторого времени», — объяснил Перкоко.

Перкоко говорит, что команда безопасности Kraken отметила эту уязвимость как критическую и решила проблему в течение часа, предотвратив дальнейшие потери. Команда также тщательно протестировала решение, чтобы защититься от подобных проблем в будущем.

«Наша команда обнаружила недостаток, возникший из-за недавнего изменения UX, которое быстро зачисляло средства на счета клиентов до того, как их активы были очищены, что позволяло клиентам эффективно торговать криптовалютными рынками в реальном времени. Это изменение UX не было тщательно протестировано против этого конкретного вектора атаки», — добавил Перкоко.

После исправления ошибки команда Kraken обнаружила, что три счета уже использовали уязвимость нулевого дня в течение нескольких дней, совместно сняв почти 3 миллиона долларов из казны биржи.

Обновление безопасности Kraken: 9 июня 2024 года мы получили уведомление о программе вознаграждений за ошибки от исследователя безопасности. Изначально не были раскрыты конкретные детали, но в их электронном письме утверждалось, что они нашли «крайне критическую» ошибку, которая позволяла им искусственно увеличивать свой баланс на нашей платформе. — Ник Перкоко (@c7five) 19 июня 2024 года

При дальнейшем расследовании они обнаружили, что один счет был связан с лицом, которое прошло процесс KYC в Kraken, утверждая, что является исследователем безопасности. Этот человек изначально протестировал ошибку и зачислил на свой счет 4 доллара в криптовалюте, что было бы достаточно, чтобы доказать недостаток и получить вознаграждение через программу вознаграждений за ошибки Kraken.

Однако Перкоко говорит, что «исследователь безопасности» вместо этого раскрыл уязвимость нулевого дня двум другим лицам, связанным с исследователем, которые мошеннически сняли дополнительные 3 миллиона долларов со своих счетов Kraken. Он подчеркнул, что эти украденные средства были из казны Kraken, а не из других клиентских счетов.

Поскольку транзакции двух других лиц не были полностью раскрыты в первоначальном отчете о программе вознаграждений за ошибки, команда Kraken связалась с исследователем для получения дополнительных деталей о их действиях. Однако Перкоко говорит, что исследователи отказались вернуть криптовалюту или поделиться какой-либо информацией о недостатке, что является обычной практикой для любой программы вознаграждений за ошибки.

«Вместо этого они потребовали звонка с нашей командой по развитию бизнеса (т.е. нашими торговыми представителями) и не согласились вернуть средства, пока мы не предоставим предполагаемую сумму, которую эта ошибка могла бы вызвать, если бы они ее не раскрыли. Это не этичное хакерство, это вымогательство!» — заявил Перкоко.

Ответ Kraken на инцидент был прозрачным. Перкоко подчеркнул важность этичного поведения в сообществе кибербезопасности, сказав: «Как исследователь безопасности, ваша лицензия на «взлом» компании предоставляется соблюдением простых правил программы вознаграждений за ошибки, в которой вы участвуете. Игнорирование этих правил и вымогательство у компании аннулирует вашу «лицензию на взлом».

Перкоко говорит, что Kraken не раскрывает личности исследователей, так как «они не заслуживают признания за свои действия». Кроме того, Kraken теперь рассматривает этот случай как уголовное дело и координируется с правоохранительными органами для возврата украденных средств.

«Мы взаимодействовали с этими исследователями добросовестно и, в соответствии с десятилетним опытом ведения программы вознаграждений за ошибки, предложили значительное вознаграждение за их усилия. Мы разочарованы этим опытом и теперь работаем с правоохранительными органами, чтобы вернуть активы от этих исследователей безопасности», — сказал представитель Kraken в заявлении.