Giełda Kraken popadła w dziwny konflikt z firmą CertiK o kryptowaluty, które zniknęły | Wiadomości | CrypS.

Giełda Kraken popadła w dziwny konflikt z firmą CertiK o kryptowaluty, które zniknęły

Kraken

CertiK, firma zajmująca się cyberbezpieczeństwem w świecie kryptowalut, odkryła i wykorzystała poważne luki w zabezpieczeniach giełdy Kraken, co mogło doprowadzić do strat rzędu setek milionów dolarów.


  • CertiK odkrył krytyczne luki w zabezpieczeniach Krakena, które pozwoliły na wyprowadzenie około 3 milionów dolarów,
  • Exploit umożliwił sfabrykowanie transakcji, a system bezpieczeństwa Krakena nie zareagował na czas.

Wykrycie i wykorzystanie exploita

9 czerwca br. giełda Kraken otrzymała zgłoszenie o luce w zabezpieczeniach w ramach programu Bug Bounty.

Badacze, którzy znaleźli exploit, zamiast podzielić się szczegółami, wykorzystali błąd, aby wypłacić około 3 miliony dolarów z kont giełdy.

Dyrektor ds. bezpieczeństwa Kraken, Nick Percoco, poinformował, że hakerzy zażądali za ujawnienie informacji większej kwoty, niż sugerował program nagród, argumentując to wysokim stopniem zagrożenia.

Opis exploita

Według raportu od CertiK exploit umożliwił sfabrykowanie transakcji polegającej na dokonaniu wpłaty na konto giełdowe, a następnie wypłaty otrzymanych środków.

Co gorsza, podczas kilkudniowego testowania exploita na giełdzie nie aktywował się ani jeden alert bezpieczeństwa. Dopiero kilka dni po oficjalnym zgłoszeniu incydentu, Kraken zareagował i zawiesił konta próbne.

CertiK załączył zrzut ekranu ze wszystkimi fałszywymi wpłatami i wypłatami. Zespół ds. bezpieczeństwa Krakena sklasyfikował exploit jako krytyczny i natychmiast rozpoczął pracę nad jego naprawieniem. 

Mimo to, zgodnie z doniesieniami od CertiK, zespół bezpieczeństwa Krakena zarzucał poszczególnym pracownikom wspomnianej firmy wypłatę kryptowalut, nie podając przy tym konkretnych adresów do ich zwrotu.

Reakcja Krakena i dalsze kroki

Kraken od początku incydentu odbył kilka wideokonferencji z CertiK.

Firma CertiK obiecała zwrócić wszystkie zasoby uzyskane podczas testów podatności, jednak wskazała na brak adresów realizacji oraz błędne obliczenia kwot.

CertiK przekazał środki na konto, do którego wspomniana platforma handlowa ma dostęp, co nie miało wpływu na fundusze użytkowników. Mimo to, analitycy wyrazili obawy dotyczące słabego systemu bezpieczeństwa giełdy, który nie reagował ani na fałszywy depozyt, ani na dużą wypłatę środków.

Podobne incydenty na innych giełdach

Warto wspomnieć, że Kraken nie jest jedyną giełdą, która padła ofiarą ataku.

Giełda OKX ujawniła szczegóły dotyczące serii włamań na konta, gdzie hakerzy sfabrykowali dokumenty i ominęli dodatkowe mechanizmy bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe (2FA). 

Ponadto, 3 czerwca br. atakujący przejął kontrolę nad kontem chińskiego tradera na Binance bez hasła i dostępu do 2FA, wypłacając aktywa o wartości 1 miliona dolarów.

Kraken

Śledź CrypS. w Google News. Czytaj najważniejsze wiadomości bezpośrednio w Google! Obserwuj ->

Zajrzyj na nasz telegram i dołącz do Crypto. Society. Dołącz ->

reklama

Dodaj komentarz

Ostrzeżenie o ryzyku Kryptowaluty oraz produkty lewarowe to bardzo ryzykowne istrumenty finansowe, mogące spowodować szybką utratę kapitału.

Materiały opublikowane na tej stronie mają jedynie cel informacyjny i nie należy ich traktować jako porady inwestycyjnej (rekomendacji) w rozumieniu przepisów ustawy z dnia 29 lipca 2005r. o obrocie instrumentami finansowymi. Nie są również doradztwem prawnym ani finansowym. Opracowania zamieszczone w serwisie Cryps.pl stanowią wyłącznie wyraz poglądów redakcji i użytkowników serwisu i nie powinny być interpretowane w inny sposób.

Niektóre artykuły opatrzone są odnośnikami do innych stron. Służy to uzupełnieniu przedstawionych informacji.
Niektóre jednak linki mają charakter afiliacyjny: prowadzą do oficjalnych stron producentów, na których można kupić opisywany produkt. Jeśli użytkownik dokona transakcji po kliknięciu w link, nasz serwis pobiera z tego tytułu prowizję. Nie wpływa to na finalną cenę produktu, a w niektórych przypadkach ją obniża. Portal CrypS.pl nie ponosi odpowiedzialności za treści, które znajdują się na podlinkowanych stronach.