Hôm qua, Kraken cho biết sàn giao dịch đã bị exploit gần 3 triệu USD và tuyên bố rằng một nhóm nghiên cứu vẫn đang giữ số tài sản kỹ thuật số này.
Một “nhà nghiên cứu bảo mật” ẩn danh tự xưng đã tìm thấy một lỗi bảo mật nghiêm trọng và cảnh báo sàn giao dịch tiền điện tử vào ngày 9 tháng 6.
Tuy nhiên, hai tài khoản liên quan đến nhà nghiên cứu bảo mật đã khai thác lỗi này để rút hơn 3 triệu USD giá trị tài sản kỹ thuật số, theo Nicholas Percoco, giám đốc bảo mật của Kraken.
Sau khi rút hàng triệu đô la, nhà nghiên cứu bảo mật này đang yêu cầu phần thưởng cho số tiền bị đánh cắp. Họ yêu cầu một cuộc gọi với đội phát triển kinh doanh của Kraken và từ chối trả lại tài sản cho đến khi Kraken đưa ra một ước tính về mức tác động tài chính tiềm năng của lỗ hổng nếu nó không được tiết lộ.
Percoco cho rằng đây là hành động tống tiền chứ không phải hack mũ trắng, nhấn mạnh rằng các hacker đạo đức thường làm việc hợp tác với các công ty để cải thiện bảo mật mà không lợi dụng lỗ hổng vì lợi ích cá nhân.
Tiền điện tử đã bị đánh cắp trực tiếp từ kho bạc của Kraken. Sàn giao dịch tuyên bố rằng không có khoản tiền nào của người dùng bị đe dọa.
Kraken sẽ tiếp tục các chương trình tiền thưởng lỗi để tăng cường bảo mật cho sàn giao dịch và đang hợp tác với cơ quan thực thi pháp luật để thu hồi số tiền bị đánh cắp.
CertiK tự nhận đã phát hiện lỗ hổng và đang trả tiền
Sau diễn biến này, công ty bảo mật blockchain CertiK cho biết họ là người đã tìm thấy lỗ hổng trong hệ thống tiền gửi của Kraken và đang chuyển tiền trở lại sàn giao dịch.
CertiK recently identified a series of critical vulnerabilities in @krakenfx exchange which could potentially lead to hundreds of millions of dollars in losses.
Starting from a finding in @krakenfx‘s deposit system where it may fail to differentiate between different internal… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) June 19, 2024
CertiK cho biết lỗ hổng này có thể cho phép tin tặc gửi hàng triệu đô la vào bất kỳ tài khoản Kraken nào và rút một lượng tiền điện tử đáng kể (trị giá hơn 1 triệu USD). Trong suốt giai đoạn thử nghiệm kéo dài nhiều ngày, hệ thống bảo mật của Kraken không kích hoạt bất kỳ cảnh báo nào liên quan đến lỗ hổng. Theo CertiK, Kraken chỉ phản ứng và khóa các tài khoản thử nghiệm của họ sau vài ngày được CertiK tiết lộ vấn đề.
Sau những cuộc thảo luận ban đầu để khắc phục lỗ hổng, CertiK buộc tội đội ngũ bảo mật của Kraken đã đe dọa các nhân viên của họ. Cụ thể, Kraken được cho là yêu cầu các nhân viên CertiK hoàn trả một lượng tiền điện tử “không khớp” trong một khung thời gian “không hợp lý” là 6 giờ, mà không cung cấp địa chỉ để hoàn trả.
CertiK đã cung cấp một dòng thời gian của riêng họ về các sự kiện, chi tiết về các giao dịch gửi tiền thử nghiệm được thực hiện bằng token MATIC của Polygon.
“Vì Kraken chưa cung cấp địa chỉ hoàn trả và số tiền yêu cầu không khớp, chúng tôi đang chuyển tiền dựa trên hồ sơ của chúng tôi sang một tài khoản mà Kraken có thể truy cập được”.
Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn
Theo dõi Twitter (X): https://twitter.com/tapchibtc_io
Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin
- BNB Chain phải đối mặt với exploit 80.000 đô la Bitcoin – hacker mũ trắng hay exploit?
- Chủ mưu exploit Pump.fun được cho là đã bị bắt và được tại ngoại ở Vương quốc Anh
Annie
Tạp chí Bitcoin
