Sàn giao dịch tiền điện tử Kraken cho biết “các nhà nghiên cứu bảo mật” phát hiện ra lỗ hổng trên nền tảng này đã chuyển sang “tống tiền” sau khi rút khoảng 3 triệu USD từ kho bạc của sàn giao dịch.
Nick Percoco, giám đốc an ninh của Kraken, cho biết trong một bài đăng trên nền tảng truyền thông xã hội X (trước đây là Twitter) rằng công ty đã nhận được cảnh báo về “chương trình tiền thưởng lỗi” từ một nhà nghiên cứu bảo mật vào ngày 9 tháng 6 về một lỗ hổng cho phép người dùng tăng số dư của họ một cách giả tạo. Percoco cho biết thêm: “Lỗi này cho phép kẻ tấn công độc hại, trong những trường hợp thích hợp, bắt đầu gửi tiền vào nền tảng của chúng tôi và nhận tiền vào tài khoản của họ mà không cần hoàn thành đầy đủ khoản tiền gửi”.
Percoco lưu ý rằng khi nhận được báo cáo, Kraken đã nhanh chóng khắc phục sự cố và không có khoản tiền nào của người dùng bị ảnh hưởng.
Điều gì xảy ra sau khi đội của Kraken giương cờ đỏ.
Nhà nghiên cứu bảo mật, khi phát hiện ra lỗi, được cho là đã tiết lộ nó cho hai cá nhân khác, sau đó những người này đã “lừa đảo” rút gần 3 triệu USD từ tài khoản Kraken của họ. Percoco cho biết: “Số tiền này là từ kho bạc của Kraken chứ không phải tài sản của khách hàng khác”.
Báo cáo lỗi ban đầu không đề cập đến giao dịch của hai cá nhân khác và khi Kraken hỏi thêm chi tiết về hoạt động của họ, họ đã từ chối.
“Thay vào đó, họ yêu cầu một cuộc gọi với nhóm phát triển kinh doanh của họ (tức là đại diện bán hàng của họ) và không đồng ý trả lại bất kỳ khoản tiền nào cho đến khi chúng tôi cung cấp số tiền suy đoán mà lỗi này có thể gây ra nếu họ không tiết lộ nó. Đây không phải là trắng trợn.” -hack mũ, đó là tống tiền!” Percoco đã viết.
Xem thêm: Cá voi Bitcoin đã bán được hơn 1 tỷ USD BTC trong hai tuần qua
Kraken không tiết lộ các nhà nghiên cứu là ai, nhưng biên tập viên mã blockchain Certik sau đó cho biết trong một bài đăng trên mạng xã hội rằng họ đã tìm thấy một số lỗ hổng trong sàn giao dịch tiền điện tử.
Certik cho biết họ đã tiến hành “thử nghiệm kéo dài nhiều ngày” và lưu ý rằng lỗi này có thể bị khai thác để tạo ra tiền điện tử trị giá hàng triệu đô la. “Hàng triệu đô la có thể được gửi vào BẤT KỲ tài khoản Kraken nào. Một lượng lớn tiền điện tử giả mạo (trị giá hơn 1 triệu USD) có thể được rút khỏi tài khoản và chuyển đổi thành tiền điện tử hợp lệ. Tệ hơn nữa, không có cảnh báo nào được kích hoạt trong quá trình thử nghiệm kéo dài nhiều ngày thời kỳ”, bài viết cho biết.
Tuy nhiên, Certik cho biết mọi thứ trở nên tồi tệ sau cuộc trò chuyện đầu tiên với Kraken. Bài đăng X cho biết thêm: “Nhóm vận hành bảo mật của Kraken đã Đe dọa các nhân viên của CertiK cá nhân phải hoàn trả một lượng tiền điện tử KHÔNG phù hợp trong một thời gian KHÔNG HỢP LÝ ngay cả khi KHÔNG cung cấp địa chỉ trả nợ”.
Các chương trình tiền thưởng lỗi – được nhiều công ty sử dụng để tăng cường hệ thống bảo mật của họ – mời các tin tặc bên thứ ba, được gọi là “mũ trắng”, tìm các lỗ hổng để công ty có thể sửa chúng trước khi kẻ xấu khai thác chúng. Đối thủ cạnh tranh của Kraken, Coinbase, cũng có một chương trình tương tự để giúp cảnh báo các lỗ hổng trên sàn giao dịch.
Kraken cho biết trong một bài đăng trên blog rằng, để được trả tiền thưởng, chương trình của Kraken yêu cầu bên thứ ba tìm ra vấn đề, khai thác số tiền tối thiểu cần thiết để chứng minh lỗi, trả lại tài sản và cung cấp thông tin chi tiết về lỗ hổng. không tuân theo các quy tắc này, họ sẽ không nhận được tiền thưởng.
“Chúng tôi đã thu hút những nhà nghiên cứu này một cách thiện chí và, phù hợp với một thập kỷ thực hiện chương trình tiền thưởng lỗi, chúng tôi đã đưa ra một khoản tiền thưởng khá lớn cho những nỗ lực của họ. Chúng tôi thất vọng vì trải nghiệm này và hiện đang làm việc với các cơ quan thực thi pháp luật để lấy lại thông tin.” tài sản từ các nhà nghiên cứu bảo mật này”, người phát ngôn của Kraken nói với CoinDesk.
Nguồn: CoinDesk
Tôi là David Ngô, tên thật là Ngô Hoàng Long, sinh năm 1992 tại thành phố Hồ Chí Minh. Hiện tại tôi đang là trader cho công ty CF Việt, với kinh nghiệm gần 10 năm trên thị trường, tôi hy vọng có thể cung cấp cho bạn những thông tin kiến thức bổ ích.