"Исследователи" используют ошибку биржи Kraken и крадут криптовалюту на 3 миллиона долларов

Криптовалютная биржа Kraken сообщила сегодня, что предполагаемые исследователи безопасности использовали ошибку нулевого дня на сайте, чтобы украсть 3 миллиона долларов в криптовалюте, а затем отказались вернуть средства.

О взломе сообщил директор по безопасности Kraken Ник Перкоко (Nick Percoco) в твиттере X, объяснив, что 9 июня команда безопасности биржи получила неясное сообщение об "очень критической" уязвимости, которая позволяла любому искусственно увеличить остатки на кошельке Kraken.

Kraken утверждает, что расследовала сообщение и обнаружила ошибку, позволявшую злоумышленникам инициировать депозиты и получать средства, даже если депозит не прошел.

"В течение нескольких минут мы обнаружили изолированную ошибку. Это позволяло злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив депозит полностью", - пояснил Перкоко.

"Для ясности, ни один клиентский актив не подвергался риску. Однако злоумышленник мог эффективно распечатать активы на счете Kraken на некоторое время".

Перкоко говорит, что команда безопасности Kraken устранила недостаток в течение часа и обнаружила, что он связан с недавним изменением пользовательского интерфейса, которое позволяет клиентам вносить средства и использовать их до того, как они будут очищены.

И вот тут-то ситуация принимает странный оборот.

Исправив ошибку, они обнаружили, что три пользователя использовали ее как "нулевой день", чтобы украсть 3 миллиона долларов из казначейства биржи.

Один из пользователей был связан с человеком, выдававшим себя за исследователя, который использовал его для пополнения своего счета на $4 в криптовалюте, чтобы доказать наличие ошибки.

Однако, по словам Перкоко, ошибка была раскрыта еще двум людям, связанным с исследователем, которые использовали ее, чтобы вывести еще 3 миллиона долларов украденных средств со своих счетов Kraken.

После того как Перкоко связался с исследователем по поводу этого вывода, тот отказался вернуть криптовалюту или поделиться какой-либо информацией об уязвимости, как это полагается в случае раскрытия ошибки.

"Вместо этого они потребовали разговора со своей командой по развитию бизнеса (т.е. с торговыми представителями) и не согласились вернуть средства, пока мы не предоставим предположительную сумму в $, которую могла бы принести эта ошибка, если бы они ее не раскрыли", - утверждает Перкоко.

"Это не хакерство, а вымогательство!"

Перкоко говорит, что Kraken не раскрывает личности исследователей, поскольку "они не заслуживают признания за свои действия".

Теперь Kraken заявляет, что рассматривает это как уголовное дело и уведомила правоохранительные органы.

BleepingComputer связался с Kraken для получения дополнительной информации и обновит статью, если получит ответ.