«Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » «Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости»

✔«Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости»

21 июня 2024 288 Новости / Преимущества стилей / Самоучитель CSS / Блог для вебмастеров / Добавления стилей / Сайтостроение / Изображения / Заработок 0

Криптовалютная биржа Kraken сообщила, что некие ИБ-исследователи воспользовались уязвимостью нулевого дня на сайте и похитили 3 млн долларов в криптовалюте, а затем отказались вернуть эти средства компании.


О взломе в социальной сети X (бывший Twitter) рассказал CSO Kraken Ник Перкоко (Nick Percoco). По его словам, 9 июня 2024 года команда безопасности биржи получила туманное сообщение об «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken.


Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась.


«В течение нескольких минут мы обнаружили изолированный баг. Он позволял злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив операцию до конца, — пишет Перкоко. — При этом никакие активы клиентов не подвергались риску. Однако злоумышленник мог эффективно создавать активы на счете Kraken в течение определенного времени».


По словам Перкоко, команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса.


Но после этого началось самое интересное. Исправив ошибку, специалисты обнаружили, что три пользователя Kraken уже использовали уязвимость как 0-day и украли у биржи 3 млн долларов.


Один из этих пользователей оказался связан с человеком, который выдавал себя за ИБ-исследователя и использовал баг для пополнения своего счета на 4 доллара в криптовалюте, чтобы доказать наличие уязвимости.


Перкоко сообщает, что уязвимость была раскрыта еще двум людям помимо исследователя, которые использовали баг для хищения 3 млн долларов и вывода этих средств со своих счетов Kraken.


После того как специалисты Kraken связались с исследователем по поводу этого вывода средств, тот отказался вернуть криптовалюту, предоставить PoC-экспалоит или поделиться какой-либо информацией об уязвимости.


«Вместо этого он запросил созвон со своей командой по развитию бизнеса (то есть с торговыми представителями) и не согласился вернуть средства, пока мы не назовем приблизительную сумму [ущерба] в долларах, к которому могла бы привести эта ошибка, если бы они ее не раскрыли. Это не white-hat хакерство, это вымогательство!», — пишет глава безопасности Kraken.


Перкоко заявляет, что Kraken не раскрывает личности этих исследователей, поскольку «они не заслуживают признания из-за своих действий».


Теперь руководство биржи рассматривает случившееся как преступление и уже уведомило об инциденте правоохранительные органы.


Криптовалютная биржа Kraken сообщила, что некие ИБ-исследователи воспользовались уязвимостью нулевого дня на сайте и похитили 3 млн долларов в криптовалюте, а затем отказались вернуть эти средства компании. О взломе в социальной сети X (бывший Twitter) рассказал CSO Kraken Ник Перкоко (Nick Percoco). По его словам, 9 июня 2024 года команда безопасности биржи получила туманное сообщение об «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken. Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась. «В течение нескольких минут мы обнаружили изолированный баг. Он позволял злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив операцию до конца, — пишет Перкоко. — При этом никакие активы клиентов не подвергались риску. Однако злоумышленник мог эффективно создавать активы на счете Kraken в течение определенного времени». По словам Перкоко, команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса. Но после этого началось самое интересное. Исправив ошибку, специалисты обнаружили, что три пользователя Kraken уже использовали уязвимость как 0-day и украли у биржи 3 млн долларов. Один из этих пользователей оказался связан с человеком, который выдавал себя за ИБ-исследователя и использовал баг для пополнения своего счета на 4 доллара в криптовалюте, чтобы доказать наличие уязвимости. Перкоко сообщает, что уязвимость была раскрыта еще двум людям помимо исследователя, которые использовали баг для хищения 3 млн долларов и вывода этих средств со своих счетов Kraken. После того как специалисты Kraken связались с исследователем по поводу этого вывода средств, тот отказался вернуть криптовалюту, предоставить PoC-экспалоит или поделиться какой-либо информацией об уязвимости. «Вместо этого он запросил созвон со своей командой по развитию бизнеса (то есть с торговыми представителями) и не согласился вернуть средства, пока мы не назовем приблизительную сумму _
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: