Как аналитик с опытом работы в области кибербезопасности, я нахожу недавний опыт Kraken с уязвимостью нулевого дня одновременно тревожным и интригующим. Быстрое реагирование на выявление и решение проблемы заслуживает похвалы, но вызывает беспокойство тот факт, что это позволило потенциально манипулировать средствами до того, как депозиты были очищены.
Как аналитик рынка криптовалют, я бы сказал это так: я узнал, что Kraken, ведущая глобальная платформа для торговли криптовалютой, призналась, что подверглась кибератаке. Эта атака эффективно использовала неопознанную и беспрецедентную уязвимость, что привело к значительной краже криптовалюты стоимостью в миллионы.
Эксплойт раскрыт
9 июня 2024 года компания Kraken получила электронное письмо от одного из исследователей Bug Bounty, в котором сообщалось о серьезной проблеме в сети. Эта уязвимость, как сообщил директор службы безопасности Kraken Ник Перкоко, позволила злоумышленнику фальсифицировать балансовые показатели на сайте, выходящие за пределы имеющихся средств.
Как криптоинвестор, я столкнулся с проблемой, когда злоумышленник смог обойти процесс проверки депозитов и снятия средств. Проще говоря, они смогли переводить средства на мой счет и обратно еще до того, как депозит был подтвержден. Эта уязвимость может привести к значительным финансовым потерям, если ее не устранить незамедлительно.
Быстрое реагирование, но недостаточно быстрое
Всего за 47 минут Кракен быстро отреагировал на предупреждение и устранил проблему безопасности. Основная причина была определена в недавно реализованной функции пользовательского интерфейса, позволяющей клиентам обрабатывать депозиты и впоследствии использовать средства до того, как эти транзакции будут признаны клиринговой палатой.
Во время проникновения Кракен утверждал, что никакие реальные средства клиентов не были незаконно присвоены. Однако сбой в системе позволил злоумышленникам вместо этого совершать транзакции с фальшивой валютой.
Как криптоинвестор, я недавно заметил необычную картину активности. В течение недели три разных аккаунта попытались провести идентичную транзакцию — каждый пытался вывести с биржи по 3 миллиона долларов. Среди этих учетных записей одна принадлежала исследователю безопасности, который незадолго до этого публично сообщил об ошибке в системе.
Что касается первоначально заявленной уязвимости, Percoco упомянул, что злоумышленник, желающий извлечь из нее выгоду, потратил всего 4 доллара на криптовалюту в качестве демонстрации. Тем не менее, этих минимальных инвестиций было достаточно, чтобы отправить отчет об ошибке и получить вознаграждение. Тем не менее, вместо этого исследователь решил поделиться подробностями уязвимости с двумя другими людьми. Вместе им удалось украсть около 3 миллионов долларов из фондов Kraken.
Этическая дилемма или вымогательство?
Как криптоинвестор, если бы Kraken попросил меня вернуть украденные средства и представить эксплойт для проверки концепции (PoC), я бы ожидал, что они сделают это, не требуя оплаты взамен. По моему мнению, этот запрос на оплату считается вымогательством, противоречащим этическим стандартам белого хакерства, которые я поддерживаю.
Команда Kraken рассматривает ситуацию как потенциальное преступление и сотрудничает с соответствующими правоохранительными органами.
Читайте также: ШОК: Растет количество мошенничеств с криптографическим «забоем свиней»! То, что вы должны знать
Смотрите также
- Перспективы рынка криптовалюты PUPS: прогнозы цены PUPS•WORLD•PEACE
- Перспективы рынка криптовалюты CLORE: прогнозы цены Clore.ai
- Перспективы рынка криптовалюты BTC: прогнозы цены биткоина
- Перспективы рынка криптовалюты TOMI: прогнозы цены tomiNet
- Перспективы рынка криптовалюты SUI: прогнозы цены Sui
- Перспективы рынка криптовалюты TON: прогнозы цены Toncoin
- Перспективы рынка криптовалюты ARB: прогнозы цены Arbitrum
- Прогноз курса доллара
- Перспективы рынка криптовалюты COTI: прогнозы цены COTI
- Топ-3 альткоинов, которые стоит купить перед октябрьским ралли криптовалют: SUI, Notcoin и EigenLayer
2024-06-20 09:07