Крипто Kraken заявила, що «дослідники безпеки», які виявили вразливість на платформі, звернулися до «вимагання» після вилучення близько 3 мільйонів доларів із скарбниці біржі.

Нік Перкоко, керівник відділу безпеки Kraken, повідомив у дописі на платформі соціальних мереж X (раніше Twitter), що 9 червня фірма отримала сповіщення про «програму винагороди за помилку» від дослідника безпеки про вразливість, яка дозволяє користувачам штучно завищувати свій баланс . Помилка «дозволила зловмисникові, за правильних обставин, ініціювати депозит на нашій платформі та отримати кошти на свій рахунок без повного завершення депозиту», – додав Перкоко.

Отримавши звіт, Kraken швидко вирішив проблему, і кошти користувачів не постраждали, зазначив Перкоко.

Те, що сталося після цього, викликало тривогу у команди Кракена.

Дослідник безпеки, виявивши помилку, нібито повідомив про неї ще двох осіб, які потім «шахрайським шляхом» зняли майже 3 мільйони доларів зі своїх рахунків Kraken. «Це було зі скарбниць Kraken, а не з активів інших клієнтів», — сказав Перкоко.

У початковому звіті про помилку T згадувалося про транзакції двох інших осіб, і коли Kraken попросив більше деталей про їхню діяльність, вони відмовилися.

«Натомість вони вимагали зв’язку зі своєю командою з розвитку бізнесу (тобто з торговими представниками) і не погоджувалися повертати жодних коштів, доки ми не надамо припущену суму в доларах, яку могла спричинити ця помилка, якби вони її не розкрили. Це не біле. -хакерство, це вимагання!" – написав Перкоко.

Kraken T розкриває, хто були дослідниками, але редактор коду блокчейну Certik згодом заявив у публікації в соціальних мережах , що виявив кілька вразливостей у Крипто .

Certik заявив, що проводив «багатоденне тестування» і зазначив, що цю помилку можна використати для створення Крипто на мільйони доларів. «Мільйони доларів можна внести на БУДЬ-ЯКИЙ рахунок Kraken. Величезну кількість сфабрикованих Крипто (вартістю понад 1 млн. доларів США) можна зняти з рахунку та конвертувати в дійсні криптовалюти. Що ще гірше, під час багатоденного тестування не було викликано жодних сповіщень період», – йдеться у дописі.

Однак Сертік сказав, що після першої розмови з Кракеном все зіпсувалося. «Операційна команда безпеки Kraken ПОГРОЖИЛА окремим співробітникам CertiK погасити НЕВІДПОВІДНУ кількість Крипто в НЕРОЗУМНИЙ термін, навіть БЕЗ надання адрес для погашення», — додається в дописі X.

Програми винагороди за помилки, які використовуються багатьма компаніями для посилення своїх систем безпеки, запрошують сторонніх хакерів, відомих як «білі капелюхи», знайти вразливі місця, щоб компанія могла виправити їх до того, як ними скористається зловмисник. Конкурент Kraken, Coinbase, має подібну програму , яка допомагає сповіщати про обмін уразливостями.

Щоб отримати винагороду, програма Kraken вимагає, щоб третя сторона виявила проблему, використала мінімальну суму, необхідну для підтвердження помилки, повернула активи та надала деталі вразливості, сказав Kraken у дописі в блозі , додавши, що оскільки дослідники безпеки T Соціальні мережі цих правил, вони T отримають винагороду.

«Ми добросовісно залучили цих дослідників і, відповідно до десятирічної роботи програми винагород за помилки, запропонували значну винагороду за їхні зусилля. Ми розчаровані цим досвідом і зараз працюємо з правоохоронними органами, щоб отримати активів цих дослідників безпеки», — сказав CoinDesk представник Kraken.

Читайте також: Вашому Крипто потрібен шериф, а не мисливець за головами

ОНОВЛЕННЯ (19 червня, 18:30 UTC): оновлено всю історію, щоб додати коментарі Certik.