Новости Беспринципный исследователь «обнёс» криптобиржу Kraken на $3 млн

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Фатальная 0day-уязвимость была устранена всего за 47 минут, но было уже поздно.


ytft4rpt3c3r99oxdzdh2li40tcatnv4.jpg


Популярная криптобиржа Kraken сообщила о краже $3 миллионов из-за критической уязвимости нулевого дня, которую обнаружил неназванный исследователь безопасности и сам же «по-тихому» ей воспользовался. Ник Перкоко, главный директор по безопасности Kraken, Для просмотра ссылки Войди или Зарегистрируйся что уязвимость позволила недобросовестному исследователю искусственно увеличивать баланс на платформе.

Компания быстро выявила мошенническую активность, позволявшую инициировать депозит и получать средства без его полного завершения. Несмотря на то, что активы клиентов не пострадали, проблема могла позволить злоумышленнику создавать новые активы на своих счетах.

Как сообщается, проблема возникла из-за недавнего изменения интерфейса, который позволял клиентам использовать внесённые средства до их полной очистки. Расследование показало, что уязвимостью воспользовались трое пользователей, включая горе-исследователя. А устранена она была за рекордные 47 минут.

Перкоко уточнил, что вышеуказанный исследователь первым обнаружил баг и использовал его для зачисления $4 на свой счёт. Он мог бы сообщить о нём в рамках программы вознаграждений и получить солидную выплату, однако решил поделиться находкой с двумя другими лицами, которые сгенерировали гораздо большие суммы и вывели с биржи почти 3 миллиона долларов.

Когда Kraken попросила вернуть украденные средства, злоумышленники потребовали связаться с их командой для уплаты выкупа. Компания расценила данный шаг как вымогательство, поэтому рассматривает инцидент как уголовное дело и сотрудничает с правоохранительными органами.

Перкоко подчеркнул, что исследователи безопасности должны следовать правилам программы вознаграждений, иначе их действия становятся незаконными и подлежат справедливому наказанию в рамках законодательства.
 
Источник новости
www.securitylab.ru

Похожие темы