«Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости» » Интернет технологии
sitename
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
Падающую на Землю обсерваторию NASA Swift будут спасать прицельным запуском крылатой ракеты - «Новости сети»
 «Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
«Гаражная» компания запустила предзаказ на одноместный летающий мотоцикл с предоплатой в $999 - «Новости сети»
 В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
В России начались продажи 12-дюймового планшета Poco Pad M1 с батарей на 12 000 мА·ч и ценой 29 990 рублей - «Новости сети»
 Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
Paradox взяла на себя вину за провал Vampire: The Masquerade — Bloodlines 2 и списала больше половины бюджета игры - «Новости сети»
 Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
Assassin's Creed Shadows пошла по пути Cyberpunk 2077 — Ubisoft отменила второе дополнение к игре - «Новости сети»
 TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
TeamGroup выпустила SSD с физической красной кнопкой самоуничтожения - «Новости сети»
 Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
Linux-ноутбук на Snapdragon X1 Elite отменён — заточенный под Windows процессор сильно тормозит с другой ОС - «Новости сети»
 ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
ИИ-пузырь «витает в воздухе», но Google всё равно замахнулась на расширение ИИ-мощностей в 1000 раз - «Новости сети»
 «Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
«Роботы могут проломить череп»: Figure AI уволила инженера за такие слова и теперь ответит за это в суде - «Новости сети»
 Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Apple устала от раздутого кода — в iOS 27 качество будет превыше новых функций - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » «Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости»

✔«Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости»

21 июня 2024 470 Новости / Преимущества стилей / Самоучитель CSS / Блог для вебмастеров / Добавления стилей / Сайтостроение / Изображения / Заработок 0

Криптовалютная биржа Kraken сообщила, что некие ИБ-исследователи воспользовались уязвимостью нулевого дня на сайте и похитили 3 млн долларов в криптовалюте, а затем отказались вернуть эти средства компании.


О взломе в социальной сети X (бывший Twitter) рассказал CSO Kraken Ник Перкоко (Nick Percoco). По его словам, 9 июня 2024 года команда безопасности биржи получила туманное сообщение об «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken.


Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась.


«В течение нескольких минут мы обнаружили изолированный баг. Он позволял злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив операцию до конца, — пишет Перкоко. — При этом никакие активы клиентов не подвергались риску. Однако злоумышленник мог эффективно создавать активы на счете Kraken в течение определенного времени».


По словам Перкоко, команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса.


Но после этого началось самое интересное. Исправив ошибку, специалисты обнаружили, что три пользователя Kraken уже использовали уязвимость как 0-day и украли у биржи 3 млн долларов.


Один из этих пользователей оказался связан с человеком, который выдавал себя за ИБ-исследователя и использовал баг для пополнения своего счета на 4 доллара в криптовалюте, чтобы доказать наличие уязвимости.


Перкоко сообщает, что уязвимость была раскрыта еще двум людям помимо исследователя, которые использовали баг для хищения 3 млн долларов и вывода этих средств со своих счетов Kraken.


После того как специалисты Kraken связались с исследователем по поводу этого вывода средств, тот отказался вернуть криптовалюту, предоставить PoC-экспалоит или поделиться какой-либо информацией об уязвимости.


«Вместо этого он запросил созвон со своей командой по развитию бизнеса (то есть с торговыми представителями) и не согласился вернуть средства, пока мы не назовем приблизительную сумму [ущерба] в долларах, к которому могла бы привести эта ошибка, если бы они ее не раскрыли. Это не white-hat хакерство, это вымогательство!», — пишет глава безопасности Kraken.


Перкоко заявляет, что Kraken не раскрывает личности этих исследователей, поскольку «они не заслуживают признания из-за своих действий».


Теперь руководство биржи рассматривает случившееся как преступление и уже уведомило об инциденте правоохранительные органы.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Криптовалютная биржа Kraken сообщила, что некие ИБ-исследователи воспользовались уязвимостью нулевого дня на сайте и похитили 3 млн долларов в криптовалюте, а затем отказались вернуть эти средства компании. О взломе в социальной сети X (бывший Twitter) рассказал CSO Kraken Ник Перкоко (Nick Percoco). По его словам, 9 июня 2024 года команда безопасности биржи получила туманное сообщение об «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken. Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась. «В течение нескольких минут мы обнаружили изолированный баг. Он позволял злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив операцию до конца, — пишет Перкоко. — При этом никакие активы клиентов не подвергались риску. Однако злоумышленник мог эффективно создавать активы на счете Kraken в течение определенного времени». По словам Перкоко, команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса. Но после этого началось самое интересное. Исправив ошибку, специалисты обнаружили, что три пользователя Kraken уже использовали уязвимость как 0-day и украли у биржи 3 млн долларов. Один из этих пользователей оказался связан с человеком, который выдавал себя за ИБ-исследователя и использовал баг для пополнения своего счета на 4 доллара в криптовалюте, чтобы доказать наличие уязвимости. Перкоко сообщает, что уязвимость была раскрыта еще двум людям помимо исследователя, которые использовали баг для хищения 3 млн долларов и вывода этих средств со своих счетов Kraken. После того как специалисты Kraken связались с исследователем по поводу этого вывода средств, тот отказался вернуть криптовалюту, предоставить PoC-экспалоит или поделиться какой-либо информацией об уязвимости. «Вместо этого он запросил созвон со своей командой по развитию бизнеса (то есть с торговыми представителями) и не согласился вернуть средства, пока мы не назовем приблизительную сумму _
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: