Kraken каже, що хакери звернулися до «вимагання» після використання помилки за 3 мільйони доларів

• Кракен сказав, що сторонні дослідники безпеки виявили вразливість, яку усунула Крипто .
• За словами Кракена, дослідники таємно вилучили майже 3 мільйони доларів і відмовилися повернути їх, не побачивши попередньо суму винагороди.
• Редактор коду блокчейну Certik заявив, що знайшов уразливість у платформі Kraken і стверджує, що йому «загрожувала» біржа.

Крипто Kraken заявила, що «дослідники безпеки», які виявили вразливість на платформі, звернулися до «вимагання» після вилучення близько 3 мільйонів доларів із скарбниці біржі.

Нік Перкоко, керівник відділу безпеки Kraken, повідомив у дописі на платформі соціальних мереж X (раніше Twitter), що 9 червня фірма отримала сповіщення про «програму винагороди за помилки» від дослідника безпеки про вразливість, яка дозволяє користувачам штучно завищувати свій баланс. Помилка «дозволила зловмисному зловмиснику за правильних обставин ініціювати депозит на нашій платформі та отримати кошти на свій рахунок без повного завершення депозиту», – додав Перкоко.

Отримавши звіт, Kraken швидко вирішив проблему, і кошти користувачів не постраждали, зазначив Перкоко.

Те, що сталося після цього, викликало тривогу у команди Кракена.

Дослідник безпеки, виявивши помилку, нібито повідомив про неї ще двох осіб, які потім «шахрайським шляхом» зняли майже 3 мільйони доларів зі своїх рахунків Kraken. «Це було зі скарбниць Kraken, а не з активів інших клієнтів», — сказав Перкоко.

У початковому звіті про помилку T згадувалося про транзакції двох інших осіб, і коли Kraken попросив більше деталей про їхню діяльність, вони відмовилися.

«Натомість вони вимагали зв’язку зі своєю командою з розвитку бізнесу (тобто з торговими представниками) і не погоджувалися повертати кошти, доки ми не надамо припущену суму в доларах, яку могла спричинити ця помилка, якби вони її не розкрили. Це не хакерство, а вимагання!» – написав Перкоко.

Kraken T розкривав, хто були дослідниками, але редактор коду блокчейну Certik згодом сказав у публікація в соціальних мережах що він виявив кілька вразливостей у Крипто .

Certik заявив, що проводив «багатоденне тестування» і зазначив, що цю помилку можна використати для створення Крипто на мільйони доларів. «Мільйони доларів можна внести на БУДЬ-ЯКИЙ обліковий запис Kraken. Величезну кількість сфабрикованих Крипто (вартістю понад 1 млн. доларів США) можна зняти з рахунку та конвертувати в дійсні криптовалюти. Що ще гірше, протягом багатоденного періоду тестування не було викликано жодних сповіщень», — йдеться в дописі.

Однак Сертік сказав, що після першої розмови з Кракеном все зіпсувалося. «Операційна команда безпеки Kraken ПОГРОЖИЛА окремим співробітникам CertiK погасити НЕВІДПОВІДНУ кількість Крипто в НЕРОЗУМНИЙ термін, навіть БЕЗ надання адрес для погашення», — додається в дописі X.

Програми винагороди за помилки, які використовуються багатьма компаніями для посилення своїх систем безпеки, запрошують сторонніх хакерів, відомих як «білі капелюхи», знайти вразливі місця, щоб компанія могла виправити їх до того, як ними скористається зловмисник. Конкурент Kraken, Coinbase, має a аналогічна програма щоб допомогти попередити обмін уразливими місцями.

Щоб отримати винагороду, програма Kraken вимагає, щоб третя сторона виявила проблему, використала мінімальну суму, необхідну для підтвердження помилки, повернула активи та надала детальну інформацію про вразливість, сказав Kraken у публікація в блозі, додавши, що оскільки дослідники безпеки T Соціальні мережі цих правил, вони T отримають винагороду.

«Ми добросовісно залучили цих дослідників і, відповідно до десятирічної роботи програми винагород за помилки, запропонували значну винагороду за їхні зусилля. Ми розчаровані цим досвідом і зараз працюємо з правоохоронними органами, щоб вилучити активи цих дослідників безпеки», — сказав CoinDesk представник Kraken.

Читайте також: Вашому Крипто потрібен шериф, а не мисливець за головами

ОНОВЛЕННЯ (19 червня, 18:30 UTC): Оновлює всю історію, щоб додати коментарі Certik.