Kraken заявляет, что хакеры обратились к «вымогательству» после использования ошибки за 3 миллиона долларов

Как аналитик с обширным опытом работы в индустрии криптовалют и кибербезопасности, я нахожу глубокую тревогу недавней встречи Кракена с так называемыми «исследователями безопасности». Хотя похвально, что Kraken быстро устранил обнаруженную уязвимость на своей платформе, последующие события вызывают серьезные вопросы о намерениях этих людей.

Будучи исследователем, обнаруживающим уязвимость безопасности на платформе Kraken, я обнаружил, что некоторые люди, называющие себя экспертами по безопасности, воспользовались этой уязвимостью и вывели около 3 миллионов долларов из резервов биржи. К моему ужасу, вместо того, чтобы ответственно сообщить об этой проблеме Kraken или сотрудничать с ними для ее устранения, эти люди выбрали грабительский подход, угрожая раскрыть новые уязвимости, если их требования не будут выполнены.

Ник Перкоко, глава службы безопасности Kraken, объявил в социальной сети X (ранее Twitter), что 9 июня в «программе вознаграждения за ошибки» Kraken было активировано предупреждение безопасности. Это предупреждение указывало на уязвимость, позволяющую пользователям ложно увеличивать баланс своих счетов. При определенных условиях недобросовестный хакер может внести депозит на платформу и получить средства, не завершив процесс депозита полностью.

По словам Percoco, после получения отчета Kraken оперативно устранил проблему без какого-либо воздействия на средства пользователей.

То, что произошло после, вызвало тревогу у команды Кракена.

Как аналитик безопасности, я обнаружил уязвимость в системе и решил поделиться ею с двумя людьми. К сожалению, они воспользовались этой информацией в своих целях, выведя около 3 миллионов долларов из резервов Kraken, а не из собственных средств. Важно уточнить, что эти средства принадлежали казне Kraken, а не активам других клиентов.

В первоначальном отчете не упоминалось участие двух других людей и детали их транзакций. На запрос Kraken о дополнительной информации об их действиях они отказались ее предоставить.

Вместо возмещения они настояли на разговоре со своей командой по развитию бизнеса и отказались возвращать средства до тех пор, пока не будет представлена ​​приблизительная стоимость воздействия ошибки. Такое поведение не является этическим взломом; это квалифицируется как вымогательство. (заявление Перкоко)

Как криптоинвестор, я всегда ищу способы, которыми мои любимые биржи могут улучшить свои системы безопасности. Одним из эффективных методов, используемых некоторыми платформами, является приглашение сторонних хакеров, часто называемых «белыми шляпами», через программы вознаграждения за обнаружение ошибок. Поступая таким образом, такие компании, как Kraken и его конкурент Coinbase, могут заранее выявлять уязвимости в своих системах. Это позволяет им решать эти проблемы до того, как ими воспользуются злоумышленники, обеспечивая более безопасную среду для всех пользователей, включая меня как инвестора.

Чтобы получить вознаграждение, программа Kraken предусматривает, что сторонняя сторона должна выявить проблему, использовать наименьшую сумму, необходимую для проверки ошибки, вернуть конфискованные активы и раскрыть подробности уязвимости. Однако, поскольку исследователи безопасности не выполнили эти рекомендации, они лишаются награды.

Представитель Kraken поделился с CoinDesk, что мы доверительно сотрудничали с этими исследователями и, следуя нашей десятилетней традиции вознаграждения искателей ошибок, предоставили им существенную компенсацию. Мы недовольны этим инцидентом и в настоящее время сотрудничаем с правоохранительными органами, чтобы вернуть украденные активы у исследователей безопасности.