Exploit zero-day na giełdzie Kraken Crypto Exchange

Dyrektor ds. bezpieczeństwa Kraken, Nick Percoco, ujawnił, że ktoś podający się za badacza bezpieczeństwa wykorzystał exploit zero-day na giełdzie Kraken Crypto Exchange w celu kradzieży kryptowalut o wartości 3 milionów dolarów. Cyberprzestępca, którego dotyczy sprawa, odmawia zwrotu skradzionego mienia.

Groźny cyberincydent na giełdzie Kraken Crypto Exchange

„9 czerwca 2024 r. otrzymaliśmy alert w ramach programu Bug Bounty od badacza bezpieczeństwa” – czytamy w poście Percoco na X. „Początkowo nie ujawniono żadnych szczegółów, ale ich e-mail zawierał informację o znalezieniu „niezwykle krytycznego” błędu, który pozwolił im sztucznie zawyżać saldo na naszej platformie”.

Krytyczny błąd Krakena pozwala atakującym zawyżać saldo portfela

9 czerwca Kraken otrzymał od badacza raport dotyczący „niezwykle krytycznego” błędu. Chociaż badacz nie podał żadnych szczegółów technicznych na temat rzekomych odkryć, wspomniał jednak, że może on pozwolić każdemu na sztuczne zwiększenie salda portfela.

Według Percoco, po raporcie o nagrodzie za błąd, giełda kryptowalut szybko zaczęła badać problem, tworząc wielofunkcyjny zespół do jego analizy. Dochodzenie ujawniło „odosobniony błąd”, który w pewnych okolicznościach mógł zostać wykorzystany przez osobę atakującą do zainicjowania depozytu i otrzymania środków bez jego pełnego zrealizowania.

Usterka spowodowana niedawną aktualizacją interfejsu użytkownika

Według doniesień ekspertów do spraw cyberbezpieczeństwa luka wynika z ostatniej aktualizacji wpływającej na interfejs użytkownika. Aktualizacja zasiliła konta klientów bezpośrednio przed rozliczeniem ich aktywów, umożliwiając klientom handel na rynkach kryptowalut w czasie rzeczywistym.

Chociaż luka nie zagraża zasobom klientów, może pozwolić sprawcom na sztuczne pompowanie kont Kraken. Mimo że firma szybko zaradziła temu niedociągnięciu, exploit zero-day został wykorzystany już w ciągu kilku dni, co doprowadziło do kradzieży kryptowalut o wartości 3 milionów dolarów ze skarbca platformy wymiany.

Rzekomi badacze odmawiają zwrotu wycofanych środków o łącznej wartości 3 milionów dolarów

Podejrzewa się, że badacz bezpieczeństwa, który odkrył tę lukę, podzielił się szczegółami z dwoma innymi osobami. Wspólnie wykorzystali tę lukę, aby wydobyć ze skarbca Krakena 3 miliony dolarów. Firma zażądała szczegółowego opisu ich działań, dowodu słuszności działania w łańcuchu oraz zwrotu wypłaconych środków, jak to jest w zwyczaju w praktykach nagradzania błędów.

Jednak zaangażowane osoby odmówiły zwrotu środków, w związku z czym firma określiła swoje działania jako zwykłe wymuszenie, a nie włamanie typu „white hat”.

„Rynek kryptowalutowy to bardzo prężnie rozwijająca się branża, z której korzysta coraz więcej internautów. Jednak jeśli planujesz rozpocząć przygodę z kryptowalutami, to warto, abyś zadbał o swoje cyberbezpieczeństwo. Pamiętaj o tym, aby zawsze korzystać z unikalnych, skomplikowanych haseł, zabezpiecz się za pomocą skutecznego systemu antywirusowego, a także wybierz bezpieczny portfel kryptowalutowy” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.