В CertiK раскрыли причастность к «взлому» Kraken
Как ранее сообщил директор по безопасности торговой платформы Kraken Ник Перкоко, 9 июня бирже стал доступен отчет об уязвимости в рамках программы Bug Bounty. Выяснилось, что тайным «исследователем безопасности», который и обнаружил эксплойт на криптобирже и также воспользовался им, оказалась компания CertiK. Исследователи тогда не показали подробности, а лишь воспользовались изъяном, чтобы вывести с Kraken $3 млн.
По словам директора торговой площадки, тогда еще никому неизвестные белые хакеры, сославшись на высокую степень угрозы, запросили за раскрытие информации больше денег, чем предполагала изначально программа вознаграждений. Представители Кракен обвинил их в «вымогательстве».
«Недавно CertiK выявила ряд критических уязвимостей у Kraken, потенциально которые могли привести к убыткам на сотни миллионов», — говорится в сообщении аналитиков.
Согласно информации CertiK, баг позволял провести фейковое внесение депозита на счет биржи, а затем вывести оттуда реальные средства.
«Более того, в течение нескольких дней тестирования данной ошибки, не активировалось ни одно оповещение безопасности. Биржа отреагировала и заблокировала пробные аккаунты только через несколько дней после того, как мы официально проинформировали их об инциденте», — заявили в компании.
Исследователи также добавили скриншот со всеми сфабрикованными депозитами и выводами.
Отдел безопасности торговой платформы определил эксплойт как «критический» и начал работать над его устранением.
Однако, по версии CertiK, служба безопасности Kракен стала угрожать отдельным сотрудникам, что переведет несоответствующее количество криптовалюты даже без предоставления адресов для их возврата».
В итоге, CertiK обязалась вернуть все активы, выведенные в ходе тестирования уязвимости:
«Но поскольку Kraken не предоставила адреса для погашения, мы переведем средства на счет, к которому биржа сможет получить доступ».
Аналитики подтвердили, что средства пользователей в сохранности. Однако они высказали обеспокоенность уязвимой системой безопасности биржи, которая никак не отреагировала ни на «искусственно созданный» депозит, ни на крупный вывод средств с платформы.
Все новости