Izgubili 3 milijuna dolara - Jedna od najpopularnijih kripto mjenjačnica na svijetu priznala problem

^{ODRICANJE OD ODGOVORNOSTI: Kompletan sadržaj je isključivo edukativno-informativnog karaktera. Ništa nije savjet. Ulaganje u kriptovalute je rizično i ulazite na vašu vlastitu odgovornost nakon vašeg vlastitog istraživanja.}

Mjenjačnica izgubila 3 milijuna dolara

Krakenov glavni sigurnosni službenik otkrio je da je greška u sustavu financiranja mjenjačnice dovela do gubitka od 3 milijuna dolara nakon što su je iskoristili odmetnuti sigurnosni istraživači.

“Sigurnosni istraživač” iskoristio grešku u sustavu financiranja mjenjačnice

Američka kripto mjenjačnica Kraken izgubila je oko 3 milijuna dolara u kriptovalutama početkom lipnja nakon što je odmetnuti “sigurnosni istraživač” iskoristio grešku u sustavu financiranja mjenjačnice. Krakenov glavni sigurnosni službenik Nick Percoco otkrio je incident u nizu objava na platformi X, naglašavajući kršenje etičkih standarda od strane uključenih pojedinaca. Prema Percocovim riječima, tim je prvo dobio obavijest od “sigurnosnog istraživača” o potencijalnoj grešci 9. lipnja. Kasnije je tim otkrio “nedostatak koji proizlazi iz nedavne promjene korisničkog iskustva (UX)” koji bi omogućio kreditiranje korisničkih računa prije nego što su njihova sredstva očišćena, omogućujući korisnicima da učinkovito trguju kripto tržištima u stvarnom vremenu. Krakenov glavni sigurnosni službenik priznao je da mjenjačnica nije testirala UX promjenu protiv tog specifičnog vektora napada prije napada.

“Ova promjena korisničkog iskustva nije temeljito testirana protiv ovog specifičnog vektora napada,” napisao je Percoco.

Sigurnosni istraživač imao još 2 suradnika

Nakon što su zakrpali ranjivost, Kraken je otkrio da su tri računa ranije iskoristila isti nedostatak u razmaku od nekoliko dana. Umjesto da direktno prijavi grešku, sigurnosni istraživač je navodno podijelio informaciju s dva suradnika, rekao je Percoco, dodajući da su nepoznati pojedinci na kraju povukli gotovo 3 milijuna dolara iz Krakenove riznice. Percoco je istaknuo da početno izvješće od "sigurnosnog istraživača" nije u potpunosti otkrilo grešku, pa je tim morao ponovno potvrditi neke detalje kako bi napredovali s nagrađivanjem za uspješno identificiranje sigurnosnog nedostatka.

Kraken je zatražio potpuni izvještaj o njihovim aktivnostima, dokaz koncepta i povrat povučenih sredstava. Međutim, pojedinci su odbili surađivati, što je Percoco opisao kao da to "nije hakiranje s bijelim šeširom" već "ucjena". Ostaje nejasno je li Kraken identificirao sve napadače ili uspio povratiti ukradena sredstva.