✨ Хакером, який вимагав винагороду в Kraken, виявилась фірма CertiK
опубліковано 20 черв 2024
Згідно з повідомленням компанії, 5 червня команда виявила низку критичних вразливостей у системі безпеки Kraken, які могли призвести до втрати мільйонів доларів.
Дослідники дійшли висновку, що система безпеки біржі провалилася по всіх трьох пунктах. Вони заявили, що на будь-який рахунок Kraken можна завести активи на мільйони доларів. Система дозволяє виводити великі суми сфабрикованої крипти (штучно створеного балансу на рахунку на біржі) та обміняти її на валідні монети.
У своєму дослідженні CertiK поставили три основні питання:
- Чи може зловмисник сфабрикувати депозит на акаунті Kraken?
- Чи можна потім вивести кошти з такого сфабрикованого акаунту?
- Які заходи безпеки спровокує запит на виведення великої суми?
За кілька днів тестування (з 5 по 9 червня) активність дослідників не спровокувала реакції від системи безпеки Kraken, а тестові акаунти було заблоковано лише після того, як CertiK повідомили команду біржі про вразливості.
Після усунення вразливостей, які Kraken позначила як критичні, між біржею та безпековою фірмою виникла суперечка щодо винагороди, відповідно до баунті-програми. CertiK заявляла про незадовільну суму у неприйнятний термін.
Незважаючи на конфліктну ситуацію, CertiK переказала отримані у межах тестування кошти на адресу, до якої команда Kraken зможе отримати доступ.
Рахунки користувачів Kraken у безпеці.