Тайным «исследователем безопасности», который обнаружил эксплойт на криптобирже Kraken и воспользовался им, оказалась компания CertiK.
CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.Starting from a finding in @krakenfx's deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD— CertiK (@CertiK) June 19, 2024
«CertiK недавно выявила ряд критических уязвимостей у Kraken, которые потенциально могли привести к убыткам на сотни миллионов долларов», — говорится в публикации.
Ранее директор по безопасности торговой платформы Ник Перкоко сообщил, что 9 июня биржа получила отчет об уязвимости в рамках программы Bug Bounty. Однако исследователи не поделились подробностями, а лишь воспользовались багом, чтобы вывести с Kraken около $3 млн.
По словам Перкоко, тогда еще публично неизвестные белые хакеры запросили за раскрытие информации больше денег, чем предполагала программа вознаграждений, сославшись на высокую степень угрозы. Представитель Kraken обвинил их в «вымогательстве».
Согласно посту CertiK, эксплойт позволял сфабриковать транзакцию внесения депозита на счет биржи, а затем вывести полученные средства.
«Хуже того, в течение нескольких дней тестирования [ошибки] не активировалось ни одного оповещения безопасности на бирже. Kraken отреагировал и заблокировал пробные аккаунты только через несколько дней после того, как мы официально сообщили об инциденте», — заявили в компании.
Аналитики также приложили скриншот со всеми фейковыми депозитами и выводами.
Transparency is important to the community. We are disclosing all testing deposit transactions here: pic.twitter.com/8RpzRX42E9— CertiK (@CertiK) June 19, 2024
Служба безопасности торговой платформы классифицировала эксплойт как «критический» (самый высокий уровень) и начала работать над его устранением.
Однако, согласно версии CertiK, группа безопасности Kraken «начала угрожать отдельным сотрудникам, что выплатит несоответствующее количество криптовалюты в безосновательные сроки даже без предоставления адресов для возврата средств».
Фирма опубликовала график событий начиная с выявления эксплойта 5 июня и заканчивая «угрозами» со стороны Kraken 18 июня. За это время стороны провели несколько видеоконференций.
CertiK пообещала вернуть все активы, выведенные в ходе тестирования уязвимости:
«Поскольку Kraken не предоставила адреса для погашения и неправильно рассчитанную сумму, мы переводим средства на основе наших заметок на счет, к которому биржа сможет получить доступ».
Аналитики подтвердили, что средства пользователей не затронуты. Однако они обеспокоились слабой системой безопасности биржи, которая не отреагировала ни на фейковый депозит, ни на крупный вывод средств.
Ранее биржа OKX раскрыла подробности о серии взломов учетных записей. По данным платформы, хакер подделывал документы и обходил дополнительные механизмы безопасности вроде двухфакторной аутентификации (2FA).
Напомним, 3 июня стало известно, что злоумышленник получил контроль над аккаунтом китайского трейдера на Binance, не имея пароля и доступа к 2FA. После ряда сделок он вывел активы на $1 млн.
