Sàn giao dịch tiền điện tử Kraken đã thông tin về một vụ hack cách đây chưa đầy hai tuần khiến nó mất gần 3 triệu USD. Vụ việc làm nổi bật sự bất an và lỗ hổng tiếp tục xâm nhập vào ngành.
Xem thêm: Kraken chuẩn bị vòng gọi vốn 100 triệu USD trước kế hoạch IPO
Kraken bị hack, mất gần 3 triệu USD
Kraken đã tiết lộ một cuộc tấn công lỗi vào ngày 09/6, chứng kiến một khoản thiệt hại gần 3 triệu USD. Dựa trên báo cáo được chia sẻ bởi Giám đốc an ninh Kraken Nick Percoco, sàn giao dịch đã nhận được cảnh báo chương trình bug bounty.
Vào ngày 09/6/2024, chúng tôi nhận được cảnh báo chương trình Bug Bounty từ một nhà nghiên cứu bảo mật. Không có chi tiết cụ thể nào được tiết lộ ban đầu, nhưng email của họ tuyên bố tìm thấy một lỗi “cực kỳ nghiêm trọng” cho phép họ tăng số dư của mình một cách giả tạo trên nền tảng của chúng tôi.
Percoco lưu ý trong một bài đăng hôm thứ Tư.
CSO lưu ý rằng một cuộc điều tra sâu hơn đã tiết lộ một lỗi bị cô lập mang lại cho kẻ xấu những đặc quyền không xứng đáng. Cụ thể, họ có thể bắt đầu gửi tiền trên Kraken và nhận tiền trong tài khoản của mình mặc dù họ chưa hoàn tất đầy đủ khoản tiền nạp.
Một phân tích chuyên sâu đã tiết lộ một lỗ hổng trong một thay đổi UX gần đây trên nền tảng của Kraken. Lỗ hổng này cho phép kẻ tấn công độc hại “in tài sản” trong tài khoản của họ trong một khoảng thời gian. Điều quan trọng là không có tài sản nào của khách hàng bị xâm phạm và vấn đề đã được khắc phục. Tuy nhiên, một cuộc thăm dò sau đó đã phát hiện ra rằng ba tài khoản đã khai thác lỗi trong vòng vài ngày với nhau.
Sau khi vá lỗ hổng, chúng tôi đã điều tra kỹ lưỡng tình hình và nhanh chóng phát hiện ra rằng 3 tài khoản đã tận dụng lỗ hổng này trong vòng vài ngày. Khi chúng tôi đào sâu hơn, chúng tôi nhận thấy rằng một tài khoản đã được KYC cho một cá nhân tự xưng là nhà nghiên cứu bảo mật.
Percoco nói.
Một nhà nghiên cứu bảo mật đã phát hiện ra một lỗi trong hệ thống cấp vốn của Kraken và ghi có vào tài khoản của họ 4 USD dưới dạng tiền điện tử. Số tiền này đủ để chứng minh lỗ hổng và nộp báo cáo tiền thưởng lỗi, điều này sẽ kiếm được phần thưởng lớn theo chương trình của Kraken.
Thay vào đó, nhà nghiên cứu đã chia sẻ lỗi với hai đồng nghiệp, những người đã khai thác nó để tạo ra số tiền lớn hơn nhiều một cách gian lận. Sự thông đồng này đã dẫn đến khoản lỗ gần 3 triệu USD, lấy từ kho bạc của Kraken thay vì tài sản của khách hàng.
Vụ việc lên đến đỉnh điểm trong một trường hợp tống tiền sau khi nền tảng giao dịch tiền điện tử cố gắng thu hồi tiền từ các nhà nghiên cứu này. Kraken yêu cầu một tài khoản đầy đủ về các hoạt động của các nhà nghiên cứu, bao gồm bằng chứng về khái niệm được sử dụng để tạo ra hoạt động trên chuỗi và các thỏa thuận để trả lại số tiền đã rút.
Những nhà nghiên cứu bảo mật này đã từ chối. Thay vào đó, họ yêu cầu một cuộc gọi với nhóm phát triển kinh doanh của họ và không đồng ý trả lại bất kỳ khoản tiền nào cho đến khi chúng tôi cung cấp số tiền mà lỗi này có thể gây ra nếu họ không tiết lộ nó. Đây không phải là hack mũ trắng, mà là tống tiền!
Percoco phẫn nộ.
Do đó, Kraken đã coi vụ việc như một vụ án hình sự, cam kết phối hợp với cơ quan thực thi pháp luật.
Xem thêm: Review sàn giao dịch tiền điện tử Kraken năm 2023
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.