-
Кракен сообщил, что сторонние исследователи безопасности обнаружили уязвимость, которая была исправлена Криптo .
-
Исследователи тайно вывели почти 3 миллиона долларов и отказались возвращать их, не узнав предварительно сумму вознаграждения.
-
Kraken заявила, что не будет выплачивать вознаграждение исследователям, поскольку они не Социальные сети правила программы.
Криптo биржа Kraken заявила, что «исследователи безопасности», обнаружившие уязвимость в платформе, обратились к «вымогательству» после вывода около 3 миллионов долларов из казны биржи.
Ник Перкоко, директор по безопасности Kraken, сообщил в сообщении на платформе социальных сетей X (ранее Twitter), что 9 июня фирма получила предупреждение от исследователя безопасности о «программе вознаграждения за ошибки» об уязвимости, которая позволяет пользователям искусственно завышать свой баланс. . Ошибка «позволяла злоумышленнику при определенных обстоятельствах инициировать депозит на нашу платформу и получить средства на свой счет, не завершив депозит полностью», — добавил Перкоко.
После получения отчета Kraken быстро устранил проблему, и средства пользователей не пострадали, отметили в Percoco.
То, что произошло после, вызвало тревогу у команды Кракена.
Исследователь безопасности, обнаружив ошибку, предположительно сообщил о ней двум другим лицам, которые затем «обманным путем» сняли почти 3 миллиона долларов со своих счетов в Kraken. «Это были средства казначейства Kraken, а не другие клиентские активы», — сказал Перкоко.
В первоначальном отчете об ошибке T упоминались транзакции двух других лиц, и когда Kraken запросил более подробную информацию об их деятельности, они отказались.
«Вместо этого они потребовали звонка своей команде по развитию бизнеса (т. е. своим торговым представителям) и не согласились вернуть какие-либо средства, пока мы не предоставим предполагаемую сумму в долларах, которую могла бы вызвать эта ошибка, если бы они ее не раскрыли. - Хакерство, это вымогательство!" Перкоко написал.
Программы Bug Bounty, используемые многими фирмами для усиления своих систем безопасности, приглашают сторонних хакеров, известных как «белые шляпы», находить уязвимости, чтобы компания могла их исправить до того, как ими воспользуется злоумышленник. Конкурент Kraken, Coinbase, имеет аналогичную программу , помогающую предупреждать биржу об уязвимостях.
Чтобы получить вознаграждение, программа Kraken требует, чтобы третья сторона нашла проблему, использовала минимальную сумму, необходимую для доказательства ошибки, вернула активы и предоставила подробную информацию об уязвимости, сообщил Kraken в своем блоге , добавив, что, поскольку исследователи безопасности T Социальные сети эти правила, они T получат награду.
«Мы добросовестно привлекли этих исследователей и, в соответствии с десятилетним опытом реализации программы вознаграждения за обнаружение ошибок, предложили значительную награду за их усилия. Мы разочарованы этим опытом и сейчас работаем с правоохранительными органами, чтобы вернуть активы этих исследователей безопасности», — сообщил CoinDesk представитель Kraken.
Читать дальше: Вашему Криптo нужен шериф, а не охотник за головами