Biztech Africa

Menu
Nyheter

Kraken Anklagar Säkerhetsforskare Som Misslyckades Med Att Lämna Tillbaka 3 Miljoner Dollar Som Togs Under Felexploatering Av Utpressning

Mats SjödinBy 4 Mins Read
Kraken Anklagar Säkerhetsforskare Som Misslyckades Med Att Lämna Tillbaka 3 Miljoner Dollar Som Togs Under Felexploatering Av Utpressning

Viktiga takeaways:

  • Kryptovalutabörsen Kraken kommer att vidta kriminella åtgärder mot säkerhetsforskare som tog bort 3 miljoner dollar i krypto från dess statskassan efter att ha rapporterat en sårbarhet. 
  • Felet, som rapporterades den 9 juni, skulle ha tillåtit Kraken-användare att blåsa upp sina kontosaldon på konstgjord väg, initiera en insättning och få efterföljande krypto i sin plånbok utan att helt slutföra transaktionen. 
  • Kraken säger att forskaren först informerade om felet till sina nära medarbetare, som i hemlighet drog ut krypto för miljoner och sedan lämnade in ett klagomål. De vägrar nu att lämna tillbaka pengarna utan att se prisbeloppet. 
  • Börsen har lämnat in ett brottmål mot säkerhetsmyndigheten och arbetar med brottsbekämpande myndigheter för att få tillbaka sina likvida tillgångar. 

Ledande kryptovalutabörs Kraken har avslöjat att ”säkerhetsforskare” som hittade en sårbarhet på sin plattform vägrar att returnera digitala tillgångar till ett värde av 3 miljoner dollar som tagits från dess statskassan. 

I en serie X-inlägg förklarade Nick Percoco, Krakens säkerhetschef, hur händelsen utvecklades. 

White Hat-hackare tar bort 3 miljoner dollar från Krakens skattkammare efter att ha rapporterat fel

Den 9 juni fick kryptobörsen ett anonymt tips från en blockchain-säkerhetsforskare om en bugg i dess system som skulle tillåta användare att blåsa upp sitt saldo på konstgjord väg. Detta fel ”under de rätta omständigheterna” tillåter en illvillig angripare att initiera en insättning på börsen och få pengar på sitt konto utan att helt slutföra transaktionen. 

Så snart felet rapporterades upptäckte och åtgärdade Krakens säkerhetsteam problemet. Perococo noterade att inga användarmedel påverkades. Det var dock det som kom efter som gjorde börsens lag chockade. 

Tydligen, efter att ha upptäckt buggen, delade säkerhetsforskaren informationen med två medarbetare. Det visar sig att istället för att lämna in en bug-bounty-rapport till Kraken i första instans, använde forskaren felet för att kreditera sitt Kraken-konto i krypto och arbetade sedan med sina kollegor för att ta ut cirka 3 miljoner dollar i krypto från börsens skattkammare. 

Den första felrapporten som skickades in nämnde inte transaktionerna som gjorts av de två andra individerna, men när Kraken bad dem om mer information och att returnera pengarna vägrade de. 

Perococo sa att säkerhetsforskarna istället krävde att Kraken skulle ge dem en spekulerad summa för de potentiella skadorna som felet kunde ha orsakat om de inte upptäckt det. 

Kraken vägrar att betala säkerhetsforskares premie för brott mot reglerna

Krakens säkerhetschef fördömde dessa handlingar som oetiska och brottsliga, och påstod att en säkerhetsforskares ”licens att hacka” ett företag är aktiverat genom att följa reglerna för bug-bounty-programmet de deltar i. 

”Att ignorera dessa regler och utpressa företaget gör dig och ditt företag till brottslingar”, skrev Perococo. 

Bug bounty-program används av många kryptoföretag för att testa robustheten i deras säkerhetssystem samtidigt som de uppmuntrar dem som agerar i god tro. De bjuder in tredjepartshackare som kallas ”vita hattar” för att hitta sårbarheter så att de kan åtgärdas innan en illvillig aktör utnyttjar dem. 

För att få en belöning av Kraken krävs den vita hatten för att först upptäcka problemet, utnyttja det minsta belopp som behövs för att bevisa felet, returnera tillgångarna och ge en fullständig rapport om sårbarheten. 

Kraken sa i ett blogginlägg att den vägrade att betala forskarna deras belöning eftersom de inte följde reglerna. 

Blockchain-säkerhetsföretaget Certik tros ligga bakom exploateringen 

Även om namnet på den vita hatten inte avslöjades, tros det allmänt vara blockchain-säkerhetsteknikföretaget Certik. 

Certik hade tidigare skrivit på sina sociala mediekanaler att de hittade flera sårbarheter på Kraken när de utförde ”flera dagars testning”. De varnade för att buggen kunde utnyttjas för att skapa krypto för miljontals dollar. 

Säkerhetsforskaren på kedjan skrev att miljoner kan sättas in på alla Kraken-användares konto och en enorm mängd ”tillverkad krypto” värd över en miljon dollar kan tas ut från det kontot och omvandlas till ”giltiga krypto”. Certik tog upp allvarliga farhågor om att felet inte utlöste någon varning i Krakens system under testperioden. 

Certik rapporterade dock att det gick surt efter inledande diskussioner med Kraken. De sa i ett X-inlägg att Krakens säkerhetsteam hotade sina anställda att betala tillbaka en oöverensstämmande mängd krypto ”på orimlig tid” utan att ens ange en återbetalningsadress. 

Kraken behandlar nu händelsen som ett brott och arbetar med brottsbekämpande myndigheter för att få tillbaka de förlorade medlen. ”Vi är besvikna över den här upplevelsen”, sa en talesperson för företaget till media. 

Fler nyheter: Bitcoin Sjunker Under $65 000 När Kryptomarknaden Kollapsar

Mats Sjödin är expert inom ekonomi, blockchain, kryptovalutor och dess tillämpningar. Han har särskilt intresse för automatiserad kryptovalutahandel och altcoins. I sina artiklar och föredrag belyser Mats på ett pedagogiskt sätt möjligheterna och utmaningarna med dessa nya teknologier. Han har mångårig erfarenhet från finansbranschen som han använder i sitt skrivande. Genom sitt arbete bidrar Mats Sjödin till att göra potentialen i AI och blockchain tillgänglig för en bred publik. Framöver planerar han att i ännu större utsträckning forska och publicera om dessa teknologiers påverkan på ekonomi och samhälle.

Add A Comment
Leave A Reply