Το ανταλλακτήριο κρυπτογράφησης
Kraken
αποκάλυψε σήμερα ότι φερόμενοι ερευνητές ασφαλείας εκμεταλλεύτηκαν ένα σφάλμα ιστότοπου zero-day για να κλέψουν 3 εκατομμύρια δολάρια σε κρυπτονομίσματα και στη συνέχεια αρνήθηκαν να επιστρέψουν τα κεφάλαια.
Το hack αποκαλύφθηκε από τον Chief
Security
Officer του Kraken Nick Percoco στο X, εξηγώντας ότι η ομάδα ασφαλείας του Exchange έλαβε μια ασαφή αναφορά σφάλματος στις 9 Ιουνίου σχετικά με μια «εξαιρετικά κρίσιμη»
ευπάθεια
που επέτρεπε σε οποιονδήποτε να αυξήσει τεχνητά τα υπόλοιπα σε ένα πορτοφόλι Kraken.
Ο Kraken λέει ότι ερεύνησαν την αναφορά και ανακάλυψαν ένα σφάλμα που επέτρεπε στους εισβολείς να ξεκινήσουν καταθέσεις και να λάβουν τα κεφάλαια, ακόμη και αν η κατάθεση αποτύγχανε.
“Μέσα σε λίγα λεπτά ανακαλύψαμε ένα μεμονωμένο σφάλμα. Αυτό επέτρεψε σε έναν κακόβουλο εισβολέα, υπό τις κατάλληλες συνθήκες, να ξεκινήσει μια κατάθεση στην πλατφόρμα μας και να λάβει χρήματα στον λογαριασμό του χωρίς να ολοκληρώσει πλήρως την κατάθεση”, εξήγησε η Percoco.
“Για να είμαστε σαφείς, τα περιουσιακά στοιχεία του πελάτη δεν κινδύνευαν ποτέ. Ωστόσο, ένας κακόβουλος εισβολέας θα μπορούσε να εκτυπώσει αποτελεσματικά στοιχεία στον λογαριασμό του Kraken για ένα χρονικό διάστημα.”
Η Percoco λέει ότι η ομάδα ασφαλείας Kraken διόρθωσε το ελάττωμα μέσα σε μια ώρα και ανακάλυψε ότι προήλθε από μια πρόσφατη αλλαγή διεπαφής χρήστη που επιτρέπει στους πελάτες να καταθέσουν χρήματα και να τα χρησιμοποιήσουν πριν από την εκκαθάριση.
Εδώ τα πράγματα παίρνουν μια περίεργη τροπή.
Αφού διόρθωσαν το σφάλμα, ανακάλυψαν ότι τρεις χρήστες το εκμεταλλεύτηκαν ως μηδενική ημέρα για να κλέψουν 3 εκατομμύρια δολάρια από το ταμείο του χρηματιστηρίου.
Ένα μέλος συνδέθηκε με ένα άτομο που ισχυρίστηκε ότι ήταν ερευνητής, ο οποίος το χρησιμοποίησε για να καταθέσει 4 $ σε κρυπτογράφηση στον λογαριασμό του για να αποδείξει το σφάλμα.
Ωστόσο, η Percoco λέει ότι το σφάλμα αποκαλύφθηκε σε δύο άλλα άτομα που σχετίζονται με τον ερευνητή, οι οποίοι το χρησιμοποίησαν για να αποσύρουν επιπλέον 3 εκατομμύρια δολάρια σε κλεμμένα κεφάλαια από τους λογαριασμούς τους στο Kraken.
Αφού επικοινώνησε με τον ερευνητή σχετικά με αυτήν την απόσυρση, η Percoco λέει ότι οι ερευνητές αρνήθηκαν να επιστρέψουν την κρυπτογράφηση ή να μοιραστούν οποιαδήποτε πληροφορία σχετικά με την ευπάθεια, όπως αναμενόταν σε μια αποκάλυψη σφαλμάτων.
«Αντίθετα, ζήτησαν μια κλήση με την ομάδα
ανάπτυξη
ς της επιχείρησής τους (δηλαδή τους αντιπροσώπους πωλήσεών τους) και δεν συμφώνησαν να επιστρέψουν χρήματα μέχρι να παράσχουμε ένα εικαστικό ποσό $ που θα μπορούσε να προκαλέσει αυτό το σφάλμα αν δεν το είχαν αποκαλύψει», ισχυρίστηκε η Percoco.
“Αυτό δεν είναι hacking με λευκό καπέλο, είναι εκβιασμός!”
Ο Percoco λέει ότι ο Kraken δεν αποκαλύπτει την ταυτότητα των ερευνητών καθώς «δεν αξίζουν αναγνώριση για τις πράξεις τους».
Ο Kraken λέει τώρα ότι το αντιμετωπίζουν ως ποινική υπόθεση και έχουν ενημερώσει τις αρχές επιβολής του νόμου.
Η BleepingComputer επικοινώνησε με τον Kraken για περισσότερες πληροφορίες και θα ενημερώσει την
ιστορία
εάν λάβουμε απάντηση.
VIA:
bleepingcomputer.com
0