يكشف Kraken عن خطأ سمح لـ "الباحثين الأمنيين" المارقين باستغلال 3 ملايين دولار

tron g>خسرت منصة Kraken ومقرها الولايات المتحدة ما يقرب من 3 ملايين دولار في خزينتها بعد أن استغلت شركة أمنية لم يذكر اسمها ثغرة على منصتها. كشف كبير ضباط الأمن، نيك بيركوكو، عن ذلك في منشور على X، مشيرًا إلى أن شركة الأمن رفضت إعادة الأموال وتطالب الآن بدفع تعويضات أعلى كمكافأة. ترون جي> اقرأ أيضًا: بورصة العملات المشفرة DMM Bitcoin تتعهد بسداد مستحقات المستخدمين بعد اختراق بقيمة 300 مليون دولار ردًا على ذلك، قامت Kraken بتصعيد الأمر إلى وكالات إنفاذ القانون وسوف تتعامل معه على أنه جريمة. ومع ذلك، لا داعي للقلق على المستخدمين، حيث تدعي البورصة أنها قامت بالفعل بحل الثغرة الأمنية، ولم يتأثر أي حساب مستخدم. خطأ Kraken يسمح بطباعة النقود وفقًا لبيركوكو، قام أحد الباحثين الأمنيين بتنبيه Kraken بشأن خطأ فادح عبر برنامج Bug Bounty في 9 يونيو. وبعد التحقيقات الداخلية، اكتشف فريق أمان البورصة ثغرة أمنية قد تسمح لممثل سيء ببدء إيداع في حساب Kraken الخاص به واستلام المبلغ المدفوع. الأموال دون استكمال الإيداع. يمكن للمهاجم الخبيث طباعة الملايين من لا شيء من خلال هذا الاستغلال. هو شرح: "لقد اكتشفنا خطأً معزولاً. وقد سمح هذا للمهاجم الخبيث، في ظل الظروف المناسبة، ببدء إيداع على منصتنا واستلام الأموال في حسابه دون إكمال الإيداع بالكامل. وقام فريق الأمن الداخلي بتخفيف المشكلة خلال 47 دقيقة وأصلحها بالكامل بعد بضع ساعات. ومع ذلك، اكتشفت الشركة أن الخطأ نتج عن تغيير حديث في تجربة المستخدم الخاصة بها والذي سمح بإضافة حسابات العملاء قبل تصفية أصولهم. على الرغم من دمج التغيير لتمكين التداول الفوري، إلا أنه لم يتم اختباره بشكل كامل ضد هذا النوع من المخاطر. ومع ذلك، أضاف بيركوكو أن dent لم يؤثر على أصول المستخدمين، وأن استغلال الثغرة الأمنية أثر فقط على خزانة كراكن. الباحثون الأمنيون مجرمون وفي الوقت نفسه، وجد تحليل للثغرة أن ثلاثة حسابات استغلت الخلل، وتم تسجيل أحد هذه الحسابات تحت اسم الباحث الأمني ​​الذي اتصل بالبورصة في البداية. اقرأ أيضًا: تدرس Kraken حذف USDT استجابةً للوائح الاتحاد الأوروبي الجديدة في حين أن حساب الباحث استخدم الخلل فقط ليمنح نفسه 4 دولارات، وهو ما يكفي لإثبات أن الخطأ حقيقي، فقد سحب الحسابان الآخران ما يقرب من 3 ملايين دولار من حساباتهما في Kraken باستخدام نفس الثغرة. ومن المثير للاهتمام أن هذه الحسابات كانت مرتبطة بزملاء للباحث الأمني. أوضحت Kraken أن محاولاتها لاستعادة الأموال كانت بلا جدوى، حيث يطالب الباحثون الآن بدفع مبلغ أعلى يعتقدون أنه يتناسب مع مخاطر الخطأ. ووصف بيركوكو هذا بأنه عمل من أعمال الابتزاز، وهو ما يتناقض مع المبدأ الكامن وراء برنامج Bug Bounty. وأضاف أن انتهاك تلك القواعد التي تمنح قراصنة القبعة البيضاء الترخيص بالاختراق يجعل الباحثين الأمنيين مجرمين، وتعاملهم البورصة على هذا النحو.