Különös incidensről adott hírt a Kraken biztonsági igazgatója. A tőzsdéről egy biztonsági szakértő és csapata 3 millió dollárt lopott el. Az elkövetők ugyan az általuk használt biztonsági rést felfedték, de a pénzt már nem akarják visszaadni, mert szerintük mások ennél sokkal többet is lophattak volna az oldalról.
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
A Krakent június 9-én egy biztonsági szakértő keresete meg azzal, hogy felfedezett egy hibát az oldal működésében. Az illető bizonyos körülmények között képes volt arra, hogy a tőzsdére beutalt kriptovalutáját azelőtt más coinokra váltsa, hogy a tranzakciója a blokkláncon ténylegesen jóváíródott volna a Kraken walletjében.
A hacker ezt kihasználva azelőtt elkölthette a pénzét, hogy az valóban a tőzsde birtokába került volna, majd ezután a saját befizetését megfordítva ingyen kriptóra tehetett szert, amit ki is utalhatott a Krakenről.
Bár a hiba jelzésekor a szakértő azt mondta, hogy csak 4 dollár értékű kriptopénzt lopott el, nem sokkal később kiderült, hogy a bejelentést megelőző 5 napban 2 másik Kraken fiókkal is kihasználták ezt a biztonsági rést és ezekkel már 3 millió dollárnyi kriptovalutát utaltak ki a tőzsdéről.
A Kraken 10 éve futtat egy Bug Bounty programot, ahol bárki jelezheti, ha biztonsági hibát talál az oldal működésében. A kisebb jelentőségű dolgokért 500 dolláros, de egy kritikus biztonsági résért akár 1.5 millió dolláros jutalmat is kaphat, aki ezt a hiba pontos leírásával jelzi a tőzsde szakértőinek.
A Kraken biztonsági igazgatója szerint a hackerek ahelyett, hogy ezt a bevett “fehér kalapos hacker” módszert választották volna a legális és bőkezű jutalom megszerzésére, tényleges lopást hajtottak végre.
CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.
Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) June 19, 2024
Tegnap kiderült, hogy az elkövetők a Certik tagjai voltak, ami egy ismert kripto biztonsági cég. A Certik szerint a hiba kihasználásával mások több száz millió dollárt lophattak volna a Krakenről, és a tőzsde csak “egy bizonytalan összegű” jutalmat és azt is “nem meghatározott idő alatt” fizette volna ki a probléma feltárásáért, amivel szerintük nem becsülték meg az általuk végzett munkát.
Az eset kapcsán ismertté váló és a Certik lopást elkövető wallet címeiről azóta kiderült, hogy egy nemzetközileg (OFAC) tiltott és pénzmosásra használt kriptós alkalmazásba (Tornado Cash) utalták át a Krakenről kivett összeget, ami sok mindenkiben kérdéseket vetett fel a Certik további szándékait illetően.
A Kraken biztonsági vezetője zsarolásként értékelte, hogy a Certik nem hajlandó a tőzsde protokollját követni és kivárni, amíg a hiba elhárításáért járó jutalmat átutalják számukra, ezért jogi lépéseket helyezett kilátásba. Hozzátette, hogy a Kraken ügyfeleit nem érte kár, a lopást a tőzsde saját tartalékait tartalmazó walletből hajtották végre, az oldal működése pedig továbbra is zavartalan. A Certik által jelzett hibát a bejelentést követő órában elhárították.
A Kraken jelenleg a legnépszerűbb EUR – kripto kapunak számító kripto tőzsde.
További hírek és érdekességek Discord csatornánkon és a Youtube-on.