«Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости» » Интернет технологии
sitename
Системы хранения данных QNAP
Системы хранения данных QNAP
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » «Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости»

Криптовалютная биржа Kraken сообщила, что некие ИБ-исследователи воспользовались уязвимостью нулевого дня на сайте и похитили 3 млн долларов в криптовалюте, а затем отказались вернуть эти средства компании.


О взломе в социальной сети X (бывший Twitter) рассказал CSO Kraken Ник Перкоко (Nick Percoco). По его словам, 9 июня 2024 года команда безопасности биржи получила туманное сообщение об «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken.


Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась.


«В течение нескольких минут мы обнаружили изолированный баг. Он позволял злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив операцию до конца, — пишет Перкоко. — При этом никакие активы клиентов не подвергались риску. Однако злоумышленник мог эффективно создавать активы на счете Kraken в течение определенного времени».


По словам Перкоко, команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса.


Но после этого началось самое интересное. Исправив ошибку, специалисты обнаружили, что три пользователя Kraken уже использовали уязвимость как 0-day и украли у биржи 3 млн долларов.


Один из этих пользователей оказался связан с человеком, который выдавал себя за ИБ-исследователя и использовал баг для пополнения своего счета на 4 доллара в криптовалюте, чтобы доказать наличие уязвимости.


Перкоко сообщает, что уязвимость была раскрыта еще двум людям помимо исследователя, которые использовали баг для хищения 3 млн долларов и вывода этих средств со своих счетов Kraken.


После того как специалисты Kraken связались с исследователем по поводу этого вывода средств, тот отказался вернуть криптовалюту, предоставить PoC-экспалоит или поделиться какой-либо информацией об уязвимости.


«Вместо этого он запросил созвон со своей командой по развитию бизнеса (то есть с торговыми представителями) и не согласился вернуть средства, пока мы не назовем приблизительную сумму [ущерба] в долларах, к которому могла бы привести эта ошибка, если бы они ее не раскрыли. Это не white-hat хакерство, это вымогательство!», — пишет глава безопасности Kraken.


Перкоко заявляет, что Kraken не раскрывает личности этих исследователей, поскольку «они не заслуживают признания из-за своих действий».


Теперь руководство биржи рассматривает случившееся как преступление и уже уведомило об инциденте правоохранительные органы.


Криптовалютная биржа Kraken сообщила, что некие ИБ-исследователи воспользовались уязвимостью нулевого дня на сайте и похитили 3 млн долларов в криптовалюте, а затем отказались вернуть эти средства компании. О взломе в социальной сети X (бывший Twitter) рассказал CSO Kraken Ник Перкоко (Nick Percoco). По его словам, 9 июня 2024 года команда безопасности биржи получила туманное сообщение об «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken. Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась. «В течение нескольких минут мы обнаружили изолированный баг. Он позволял злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив операцию до конца, — пишет Перкоко. — При этом никакие активы клиентов не подвергались риску. Однако злоумышленник мог эффективно создавать активы на счете Kraken в течение определенного времени». По словам Перкоко, команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса. Но после этого началось самое интересное. Исправив ошибку, специалисты обнаружили, что три пользователя Kraken уже использовали уязвимость как 0-day и украли у биржи 3 млн долларов. Один из этих пользователей оказался связан с человеком, который выдавал себя за ИБ-исследователя и использовал баг для пополнения своего счета на 4 доллара в криптовалюте, чтобы доказать наличие уязвимости. Перкоко сообщает, что уязвимость была раскрыта еще двум людям помимо исследователя, которые использовали баг для хищения 3 млн долларов и вывода этих средств со своих счетов Kraken. После того как специалисты Kraken связались с исследователем по поводу этого вывода средств, тот отказался вернуть криптовалюту, предоставить PoC-экспалоит или поделиться какой-либо информацией об уязвимости. «Вместо этого он запросил созвон со своей командой по развитию бизнеса (то есть с торговыми представителями) и не согласился вернуть средства, пока мы не назовем приблизительную сумму _
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: