Kraken утверждает, что хакеры занялись «вымогательством» после эксплуатации уязвимости на 3 миллиона долларов

• Kraken сообщила, что сторонние исследователи безопасности обнаружили уязвимость, которую Криптo биржа устранила.
• По словам Kraken, исследователи тайно сняли почти 3 миллиона долларов и отказались вернуть их, не увидев предварительно сумму вознаграждения.
• Редактор кода блокчейна Certik сообщил, что обнаружил уязвимость в платформе Kraken, и утверждает, что биржа «угрожает» ему.

Криптo биржа Kraken заявила, что «исследователи безопасности», обнаружившие уязвимость на платформе, занялись «вымогательством», выведя из казны биржи около 3 миллионов долларов.

Ник Перкоко, главный сотрудник службы безопасности Kraken, сообщил в сообщении на платформе социальных сетей X (ранее Twitter), что 9 июня компания получила от исследователя безопасности предупреждение о «программе вознаграждения за ошибки» об уязвимости, которая позволяет пользователям искусственно завышать свой баланс. Ошибка «позволяла злонамеренному злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получать средства на свой счет, не завершая депозит полностью», добавил Перкоко.

Percoco отметил, что после получения отчета Kraken быстро устранил проблему, и средства пользователей не пострадали.

То, что произошло дальше, вызвало тревогу у команды Кракена.

Исследователь безопасности, обнаружив ошибку, якобы раскрыл ее двум другим лицам, которые затем «обманным путем» сняли почти 3 миллиона долларов со своих счетов Kraken. «Это было из казначейств Kraken, а не из других клиентских активов», — сказал Перкоко.

В первоначальном отчете об ошибке T упоминались транзакции двух других лиц, а когда Kraken попросил предоставить более подробную информацию об их деятельности, они отказались.

«Вместо этого они потребовали звонка в свою команду по развитию бизнеса (т. е. своим торговым представителям) и не согласились вернуть какие-либо средства, пока мы не предоставим предполагаемую сумму в долларах, которую могла бы принести эта ошибка, если бы они не раскрыли ее. Это не белый хакерский взлом, это вымогательство!» — написал Перкоко.

Kraken T раскрыл имена исследователей, но редактор кода блокчейна Сертик впоследствии заявил в своем заявлении: пост в социальных сетях что в Криптo обнаружено несколько уязвимостей.

Certik заявила, что провела «многодневное тестирование» и отметила, что уязвимость может быть использована для создания Криптo на миллионы долларов. «Миллионы долларов могут быть зачислены на ЛЮБОЙ счет Kraken. Огромное количество сфабрикованной Криптo (стоимостью более 1 млн долларов США) может быть снято со счета и конвертировано в действительные криптовалюты. Хуже того, в течение многодневного периода тестирования не было срабатывания оповещений», — говорится в сообщении.

Однако Certik заявил, что дела пошли плохо после первого разговора с Kraken. «Отдел безопасности Kraken УГРОЖАЛ отдельным сотрудникам CertiK вернуть НЕСООТВЕТСТВУЮЩУЮ сумму Криптo в НЕОБОСНОВАННЫЕ сроки, даже БЕЗ предоставления адресов для возврата», — добавили в сообщении X.

Программы вознаграждения за ошибки, используемые многими фирмами для укрепления своих систем безопасности, приглашают сторонних хакеров, известных как «белые шляпы», для поиска уязвимостей, чтобы компания могла исправить их до того, как ими воспользуется злоумышленник. У конкурента Kraken, Coinbase, естьпохожая программадля помощи в оповещении об уязвимостях обмена.

Чтобы получить вознаграждение, программа Kraken требует, чтобы третья сторона нашла проблему, использовала минимальную сумму, необходимую для доказательства ошибки, вернула активы и предоставила подробную информацию об уязвимости, говорится в заявлении Kraken.запись в блоге, добавив, что поскольку исследователи безопасности T Социальные сети этим правилам, они T получат вознаграждение.

«Мы добросовестно привлекли этих исследователей и, в соответствии с десятилетней практикой реализации программы вознаграждения за обнаруженные ошибки, предложили им значительное вознаграждение за их усилия. Мы разочарованы этим опытом и теперь работаем с правоохранительными органами, чтобы вернуть активы у этих исследователей безопасности», — сообщил представитель Kraken CoinDesk.

Читать дальше: Вашему Криптo нужен шериф, а не охотник за головами

ОБНОВЛЕНИЕ (19 июня, 18:30 UTC):Обновляет историю, добавляя комментарии Сертика.