Криптовалютная биржа Kraken потеряла 3 миллиона долларов из-за уязвимости нулевого дня

Руководитель отдела безопасности Kraken Ник Перкоко сообщил, что криптобиржа стала жертвой неких «исследователей». 9 июня ИБ-специалисты биржи получили сообщение в рамках программы Bug Bounty об уязвимости. В письме пользователь представился исследователем и рассказал, что уязвимость позволяет увеличить количество средств в аккаунте. Для доказательства «исследователь» начислил себе 4 доллара в криптовалюте на счет.

Сотрудники проверили сообщение и нашли изолированный баг. С его помощью злоумышленник мог инициировать депозит на платформе Kraken и перевести средства на свой счет, не заканчивая операцию. По словам руководителя службы безопасности компании, активы клиентов не пострадали.

Перкоко рассказал в своем аккаунте, что ошибка появилась из-за недавнего обновления интерфейса и была исправлена спустя час после обнаружения. Однако, три пользователя криптобиржи успели использовать 0-day уязвимость и украсть 3 миллиона долларов. «Исследователь» не выполнил требования вернуть деньги, предоставить PoC-эксплойт или предоставить информацию об ошибке. Вместо этого, по словам Перкоко, он требовал оценить примерный ущерб, какой получила бы компания, если бы ошибка не была обнаружена.

Также Перкоко добавил, что считает действия «исследователя» не этичным хакингом, а вымогательством, и отказывается называть личности предполагаемых злоумышленников, чтобы те не получили признания и известности. После всего произошедшего специалисты компании рассматривают вывод денег со счетов как преступление и обратились с заявлением в полицию.

Позднее свою причастность к белому хакерству в этой истории признала компания CertiK. Это ее сотрудники скрывались под «исследователем».