Kraken tiết lộ gần 3 triệu đô la đã bị lấy mất từ ví của họ sau một lỗ hổng liên quan đến lỗi đã được sửa.
Giám đốc bảo mật Nick Percoco của Kraken cho biết sàn giao dịch nhận được cảnh báo về chương trình tiền thưởng lỗi vào ngày 9/6. Cảnh báo chỉ ra lỗi “cực kỳ nghiêm trọng”, cho phép kẻ tấn công tăng số dư một cách giả tạo trên nền tảng của họ.
Nick Percoco – Giám đốc bảo mật Kraken
Percoco cho biết mặc dù gửi thiếu thông tin cụ thể nhưng họ đã xem xét vấn đề và phát hiện một lỗi riêng biệt cho phép kẻ tấn công độc hại bắt đầu gửi tiền vào nền tảng và nhận tiền vào tài khoản mà không hoàn thành đầy đủ khoản tiền gửi. Percoco lưu ý điều này chỉ xảy ra trong một số trường hợp cụ thể.
Percoco khẳng định, mặc dù không có tài sản nào của khách hàng gặp rủi ro, nhưng lỗi này xuất phát từ lỗ hổng trong thay đổi UX gần đây đã ghi có vào tài khoản của khách hàng trước khi tài sản gửi được bù trừ hoàn toàn, cho phép kẻ tấn công độc hại “in tài sản” trong tài khoản Kraken một cách hiệu quả trong một khoảng thời gian.
Bị exploit trước khi gửi tiền thưởng
Theo Percoco, lỗi này đã được khắc phục hoàn toàn trong vòng vài giờ. Tuy nhiên, một cuộc điều tra sau đó cho thấy có 3 tài khoản exploit (tấn công khai thác) cách nhau vài ngày.
Percoco tuyên bố một trong các tài khoản đã được KYC (xác minh danh tính) cho cá nhân đã phát hiện ra lỗi và tự nhận là “nhà nghiên cứu bảo mật”. Percoco cho biết cá nhân này đã cố tình lợi dụng lỗi để ghi có 4 đô la vào tài khoản của họ – đủ để chứng minh lỗ hổng, gửi báo cáo tiền thưởng lỗi và nhận phần thưởng lớn.
Tuy nhiên, CSO của Kraken cáo buộc nhà nghiên cứu đã tiết lộ lỗi này cho 2 cá nhân khác mà họ làm việc cùng và sau đó họ đã rút số tiền lớn hơn nhiều từ tài khoản Kraken với tổng trị giá gần 3 triệu đô la. Percoco làm rõ: “Đây là từ kho bạc của Kraken, không phải tài sản của khách hàng khác”.
Percoco cho biết Kraken đã yêu cầu báo cáo đầy đủ các hoạt động của họ và hoàn trả số tiền. Tuy nhiên, các nhà nghiên cứu bị cáo buộc đã từ chối trả lại bất kỳ khoản tiền nào cho đến khi Kraken tiết lộ quy mô exploit tiềm năng nếu họ không tiết lộ lỗi.
“Đây không phải là hack whitehat (mũ trắng), mà là tống tiền!”, Percoco nói.
Percoco cho biết sàn giao dịch đã bị các nhà nghiên cứu cáo buộc là “không hợp lý” và “không chuyên nghiệp” trong các yêu cầu của họ, đồng thời nói thêm mặc dù Kraken sẽ không tiết lộ công ty nghiên cứu có liên quan nhưng họ coi đây là một vụ án hình sự do vi phạm điều khoản tiền thưởng lỗi.
“Chúng tôi sẽ không tiết lộ công ty nghiên cứu này vì họ không xứng đáng được ghi nhận cho hành động của mình. Chúng tôi đang coi đây là một vụ án hình sự và phối hợp với các cơ quan thực thi pháp luật”, Percoco nói.
Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn
Theo dõi Twitter (X): https://twitter.com/tapchibtc_io
Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin
- Scaramucci: Bitcoin sẽ đạt mức cao kỷ lục trong nhiệm kỳ thứ hai của Biden
- CEO Curve Finance làm sáng tỏ vụ hack UwU Lend, bác bỏ tin tức đốt token CRV
- Holograph (HLG) giảm hơn 60% khi hacker đúc thêm 1 tỷ token mới
Đình Đình
Theo The Block
