CertiK раскрыла причастность к «белому» взлому Kraken

Тайным «исследователем безопасности», который обнаружил эксплойт на криптобирже Kraken и воспользовался им, оказалась компания CertiK.

«CertiK недавно выявила ряд критических уязвимостей у Kraken, которые потенциально могли привести к убыткам на сотни миллионов долларов», — говорится в публикации. 

Ранее директор по безопасности торговой платформы Ник Перкоко сообщил, что 9 июня биржа получила отчет об уязвимости в рамках программы Bug Bounty. Однако исследователи не поделились подробностями, а лишь воспользовались багом, чтобы вывести с Kraken около $3 млн.

По словам Перкоко, тогда еще публично неизвестные белые хакеры запросили за раскрытие информации больше денег, чем предполагала программа вознаграждений, сославшись на высокую степень угрозы. Представитель Kraken обвинил их в «вымогательстве». 

Согласно посту CertiK, эксплойт позволял сфабриковать транзакцию внесения депозита на счет биржи, а затем вывести полученные средства. 

«Хуже того, в течение нескольких дней тестирования [ошибки] не активировалось ни одного оповещения безопасности на бирже. Kraken отреагировал и заблокировал пробные аккаунты только через несколько дней после того, как мы официально сообщили об инциденте», — заявили в компании.

Аналитики также приложили скриншот со всеми фейковыми депозитами и выводами.

Служба безопасности торговой платформы классифицировала эксплойт как «критический» (самый высокий уровень) и начала работать над его устранением. 

Однако, согласно версии CertiK, группа безопасности Kraken «начала угрожать отдельным сотрудникам, что выплатит несоответствующее количество криптовалюты в безосновательные сроки даже без предоставления адресов для возврата средств». 

Фирма опубликовала график событий начиная с выявления эксплойта 5 июня и заканчивая «угрозами» со стороны Kraken 18 июня. За это время стороны провели несколько видеоконференций. 

CertiK пообещала вернуть все активы, выведенные в ходе тестирования уязвимости:

«Поскольку Kraken не предоставила адреса для погашения и неправильно рассчитанную сумму, мы переводим средства на основе наших заметок на счет, к которому биржа сможет получить доступ». 

Аналитики подтвердили, что средства пользователей не затронуты. Однако они обеспокоились слабой системой безопасности биржи, которая не отреагировала ни на фейковый депозит, ни на крупный вывод средств.

Ранее биржа OKX раскрыла подробности о серии взломов учетных записей. По данным платформы, хакер подделывал документы и обходил дополнительные механизмы безопасности вроде двухфакторной аутентификации (2FA). 

Напомним, 3 июня стало известно, что злоумышленник получил контроль над аккаунтом китайского трейдера на Binance, не имея пароля и доступа к 2FA. После ряда сделок он вывел активы на $1 млн.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK
Exit mobile version