Sàn giao dịch tiền điện tử Kraken đã thông tin về một vụ hack cách đây chưa đầy hai tuần khiến nó mất gần 3 triệu USD. Vụ việc làm nổi bật sự bất an và lỗ hổng tiếp tục xâm nhập vào ngành.
Kraken bị hack, mất gần 3 triệu USD
Kraken đã tiết lộ một cuộc tấn công lỗi vào ngày 09/6, chứng kiến một khoản thiệt hại gần 3 triệu USD. Dựa trên báo cáo được chia sẻ bởi Giám đốc an ninh Kraken Nick Percoco, sàn giao dịch đã nhận được cảnh báo chương trình bug bounty.
Percoco lưu ý trong một bài đăng hôm thứ Tư:
Vào ngày 09/6/2024, chúng tôi nhận được cảnh báo chương trình Bug Bounty từ một nhà nghiên cứu bảo mật. Không có chi tiết cụ thể nào được tiết lộ ban đầu, nhưng email của họ tuyên bố tìm thấy một lỗi “cực kỳ nghiêm trọng” cho phép họ tăng số dư của mình một cách giả tạo trên nền tảng của chúng tôi.
CSO lưu ý rằng một cuộc điều tra sâu hơn đã tiết lộ một lỗi bị cô lập mang lại cho kẻ xấu những đặc quyền không xứng đáng. Cụ thể, họ có thể bắt đầu gửi tiền trên Kraken và nhận tiền trong tài khoản của mình mặc dù họ chưa hoàn tất đầy đủ khoản tiền nạp.
Một phân tích chuyên sâu đã tiết lộ một lỗ hổng trong một thay đổi UX gần đây trên nền tảng của Kraken. Lỗ hổng này cho phép kẻ tấn công độc hại “in tài sản” trong tài khoản của họ trong một khoảng thời gian. Điều quan trọng là không có tài sản nào của khách hàng bị xâm phạm và vấn đề đã được khắc phục. Tuy nhiên, một cuộc thăm dò sau đó đã phát hiện ra rằng ba tài khoản đã khai thác lỗi trong vòng vài ngày với nhau.
Percoco nói:
Sau khi vá lỗ hổng, chúng tôi đã điều tra kỹ lưỡng tình hình và nhanh chóng phát hiện ra rằng 3 tài khoản đã tận dụng lỗ hổng này trong vòng vài ngày. Khi chúng tôi đào sâu hơn, chúng tôi nhận thấy rằng một tài khoản đã được KYC cho một cá nhân tự xưng là nhà nghiên cứu bảo mật.
Một nhà nghiên cứu bảo mật đã phát hiện ra một lỗi trong hệ thống cấp vốn của Kraken và ghi có vào tài khoản của họ 4 USD dưới dạng tiền điện tử. Số tiền này đủ để chứng minh lỗ hổng và nộp báo cáo tiền thưởng lỗi, điều này sẽ kiếm được phần thưởng lớn theo chương trình của Kraken.
Thay vào đó, nhà nghiên cứu đã chia sẻ lỗi với hai đồng nghiệp, những người đã khai thác nó để tạo ra số tiền lớn hơn nhiều một cách gian lận. Sự thông đồng này đã dẫn đến khoản lỗ gần 3 triệu USD, lấy từ kho bạc của Kraken thay vì tài sản của khách hàng.
Vụ việc lên đến đỉnh điểm trong một trường hợp tống tiền sau khi nền tảng giao dịch tiền điện tử cố gắng thu hồi tiền từ các nhà nghiên cứu này. Kraken yêu cầu một tài khoản đầy đủ về các hoạt động của các nhà nghiên cứu, bao gồm bằng chứng về khái niệm được sử dụng để tạo ra hoạt động trên chuỗi và các thỏa thuận để trả lại số tiền đã rút.
Percoco phẫn nộ:
Những nhà nghiên cứu bảo mật này đã từ chối. Thay vào đó, họ yêu cầu một cuộc gọi với nhóm phát triển kinh doanh của họ và không đồng ý trả lại bất kỳ khoản tiền nào cho đến khi chúng tôi cung cấp số tiền mà lỗi này có thể gây ra nếu họ không tiết lộ nó. Đây không phải là hack mũ trắng, mà là tống tiền!
Do đó, Kraken đã coi vụ việc như một vụ án hình sự, cam kết phối hợp với cơ quan thực thi pháp luật.
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.
Tin tức bitcoin, tin tức coin
Nguồn: Sưu Tầm