«Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости» » Интернет технологии
sitename
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
 Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
 Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
 «Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
 Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
 Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
 Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
 Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
 Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
 ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » «Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости»

✔«Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости»

21 июня 2024 386 Новости / Преимущества стилей / Самоучитель CSS / Блог для вебмастеров / Добавления стилей / Сайтостроение / Изображения / Заработок 0

Криптовалютная биржа Kraken сообщила, что некие ИБ-исследователи воспользовались уязвимостью нулевого дня на сайте и похитили 3 млн долларов в криптовалюте, а затем отказались вернуть эти средства компании.


О взломе в социальной сети X (бывший Twitter) рассказал CSO Kraken Ник Перкоко (Nick Percoco). По его словам, 9 июня 2024 года команда безопасности биржи получила туманное сообщение об «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken.


Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась.


«В течение нескольких минут мы обнаружили изолированный баг. Он позволял злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив операцию до конца, — пишет Перкоко. — При этом никакие активы клиентов не подвергались риску. Однако злоумышленник мог эффективно создавать активы на счете Kraken в течение определенного времени».


По словам Перкоко, команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса.


Но после этого началось самое интересное. Исправив ошибку, специалисты обнаружили, что три пользователя Kraken уже использовали уязвимость как 0-day и украли у биржи 3 млн долларов.


Один из этих пользователей оказался связан с человеком, который выдавал себя за ИБ-исследователя и использовал баг для пополнения своего счета на 4 доллара в криптовалюте, чтобы доказать наличие уязвимости.


Перкоко сообщает, что уязвимость была раскрыта еще двум людям помимо исследователя, которые использовали баг для хищения 3 млн долларов и вывода этих средств со своих счетов Kraken.


После того как специалисты Kraken связались с исследователем по поводу этого вывода средств, тот отказался вернуть криптовалюту, предоставить PoC-экспалоит или поделиться какой-либо информацией об уязвимости.


«Вместо этого он запросил созвон со своей командой по развитию бизнеса (то есть с торговыми представителями) и не согласился вернуть средства, пока мы не назовем приблизительную сумму [ущерба] в долларах, к которому могла бы привести эта ошибка, если бы они ее не раскрыли. Это не white-hat хакерство, это вымогательство!», — пишет глава безопасности Kraken.


Перкоко заявляет, что Kraken не раскрывает личности этих исследователей, поскольку «они не заслуживают признания из-за своих действий».


Теперь руководство биржи рассматривает случившееся как преступление и уже уведомило об инциденте правоохранительные органы.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Криптовалютная биржа Kraken сообщила, что некие ИБ-исследователи воспользовались уязвимостью нулевого дня на сайте и похитили 3 млн долларов в криптовалюте, а затем отказались вернуть эти средства компании. О взломе в социальной сети X (бывший Twitter) рассказал CSO Kraken Ник Перкоко (Nick Percoco). По его словам, 9 июня 2024 года команда безопасности биржи получила туманное сообщение об «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken. Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась. «В течение нескольких минут мы обнаружили изолированный баг. Он позволял злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив операцию до конца, — пишет Перкоко. — При этом никакие активы клиентов не подвергались риску. Однако злоумышленник мог эффективно создавать активы на счете Kraken в течение определенного времени». По словам Перкоко, команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса. Но после этого началось самое интересное. Исправив ошибку, специалисты обнаружили, что три пользователя Kraken уже использовали уязвимость как 0-day и украли у биржи 3 млн долларов. Один из этих пользователей оказался связан с человеком, который выдавал себя за ИБ-исследователя и использовал баг для пополнения своего счета на 4 доллара в криптовалюте, чтобы доказать наличие уязвимости. Перкоко сообщает, что уязвимость была раскрыта еще двум людям помимо исследователя, которые использовали баг для хищения 3 млн долларов и вывода этих средств со своих счетов Kraken. После того как специалисты Kraken связались с исследователем по поводу этого вывода средств, тот отказался вернуть криптовалюту, предоставить PoC-экспалоит или поделиться какой-либо информацией об уязвимости. «Вместо этого он запросил созвон со своей командой по развитию бизнеса (то есть с торговыми представителями) и не согласился вернуть средства, пока мы не назовем приблизительную сумму _
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: