✨ Хакером, требующим награду у Kraken, оказалась фирма CertiK
опубликовано 20 июн 2024
Согласно сообщению компании, 5 июня команда обнаружила ряд критических уязвимостей в системе безопасности Kraken, которые могли привести к потере миллионов долларов.
Исследователи пришли к выводу, что система безопасности биржи провалилась по всем трем пунктам. Они заявили, что на любой счет Kraken можно завести активы на миллионы долларов. Система позволяет выводить большие суммы сфабрикованной крипты (искусственно созданного баланса на счете на бирже) и обменять ее на валидные монеты.
В своем исследовании CertiK поставила три основных вопроса:
- Может ли злоумышленник сфабриковать депозит на аккаунте Kraken?
- Можно ли потом вывести средства с такого сфабрикованного аккаунта?
- Какие меры безопасности спровоцирует запрос на вывод крупной суммы?
За несколько дней тестирования (с 5 по 9 июня) активность исследователей не спровоцировала реакции от системы безопасности Kraken, а тестовые аккаунты были заблокированы только после того, как CertiK сообщила команде биржи об уязвимостях.
После устранения уязвимостей, которые Kraken обозначила как критические, между биржей и фирмой безопасности возникли разногласия по поводу вознаграждения, согласно баунти-программе. CertiK заявляла о неудовлетворительной сумме в неприемлемый срок.
Несмотря на конфликтную ситуацию, CertiK перевела полученные в рамках тестирования средства на адрес, к которому команда Kraken сможет получить доступ.
Счета пользователей Kraken в безопасности.