«Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
 Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
 Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
 «Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
 Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
 Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
 В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
 Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
 Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
 Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » «Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости»

✔«Исследователи» украли у биржи Kraken 3 млн долларов через 0-day уязвимость - «Новости»

21 июня 2024 459 Новости / Преимущества стилей / Самоучитель CSS / Блог для вебмастеров / Добавления стилей / Сайтостроение / Изображения / Заработок 0

Криптовалютная биржа Kraken сообщила, что некие ИБ-исследователи воспользовались уязвимостью нулевого дня на сайте и похитили 3 млн долларов в криптовалюте, а затем отказались вернуть эти средства компании.


О взломе в социальной сети X (бывший Twitter) рассказал CSO Kraken Ник Перкоко (Nick Percoco). По его словам, 9 июня 2024 года команда безопасности биржи получила туманное сообщение об «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken.


Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась.


«В течение нескольких минут мы обнаружили изолированный баг. Он позволял злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив операцию до конца, — пишет Перкоко. — При этом никакие активы клиентов не подвергались риску. Однако злоумышленник мог эффективно создавать активы на счете Kraken в течение определенного времени».


По словам Перкоко, команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса.


Но после этого началось самое интересное. Исправив ошибку, специалисты обнаружили, что три пользователя Kraken уже использовали уязвимость как 0-day и украли у биржи 3 млн долларов.


Один из этих пользователей оказался связан с человеком, который выдавал себя за ИБ-исследователя и использовал баг для пополнения своего счета на 4 доллара в криптовалюте, чтобы доказать наличие уязвимости.


Перкоко сообщает, что уязвимость была раскрыта еще двум людям помимо исследователя, которые использовали баг для хищения 3 млн долларов и вывода этих средств со своих счетов Kraken.


После того как специалисты Kraken связались с исследователем по поводу этого вывода средств, тот отказался вернуть криптовалюту, предоставить PoC-экспалоит или поделиться какой-либо информацией об уязвимости.


«Вместо этого он запросил созвон со своей командой по развитию бизнеса (то есть с торговыми представителями) и не согласился вернуть средства, пока мы не назовем приблизительную сумму [ущерба] в долларах, к которому могла бы привести эта ошибка, если бы они ее не раскрыли. Это не white-hat хакерство, это вымогательство!», — пишет глава безопасности Kraken.


Перкоко заявляет, что Kraken не раскрывает личности этих исследователей, поскольку «они не заслуживают признания из-за своих действий».


Теперь руководство биржи рассматривает случившееся как преступление и уже уведомило об инциденте правоохранительные органы.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Криптовалютная биржа Kraken сообщила, что некие ИБ-исследователи воспользовались уязвимостью нулевого дня на сайте и похитили 3 млн долларов в криптовалюте, а затем отказались вернуть эти средства компании. О взломе в социальной сети X (бывший Twitter) рассказал CSO Kraken Ник Перкоко (Nick Percoco). По его словам, 9 июня 2024 года команда безопасности биржи получила туманное сообщение об «чрезвычайно критической» уязвимости, позволяющей любому желающему искусственно увеличить остаток средств в своем аккаунте Kraken. Специалисты биржи изучили это сообщение и действительно обнаружили ошибку, позволявшую злоумышленникам осуществлять пополнение счета и получать средства, даже если операция по внесению средств не удалась. «В течение нескольких минут мы обнаружили изолированный баг. Он позволял злоумышленнику при определенных обстоятельствах инициировать депозит на нашей платформе и получить средства на свой счет, не завершив операцию до конца, — пишет Перкоко. — При этом никакие активы клиентов не подвергались риску. Однако злоумышленник мог эффективно создавать активы на счете Kraken в течение определенного времени». По словам Перкоко, команда безопасности Kraken устранила проблему в течение часа и обнаружила, что причиной ее возникновения стало недавнее изменение пользовательского интерфейса. Но после этого началось самое интересное. Исправив ошибку, специалисты обнаружили, что три пользователя Kraken уже использовали уязвимость как 0-day и украли у биржи 3 млн долларов. Один из этих пользователей оказался связан с человеком, который выдавал себя за ИБ-исследователя и использовал баг для пополнения своего счета на 4 доллара в криптовалюте, чтобы доказать наличие уязвимости. Перкоко сообщает, что уязвимость была раскрыта еще двум людям помимо исследователя, которые использовали баг для хищения 3 млн долларов и вывода этих средств со своих счетов Kraken. После того как специалисты Kraken связались с исследователем по поводу этого вывода средств, тот отказался вернуть криптовалюту, предоставить PoC-экспалоит или поделиться какой-либо информацией об уязвимости. «Вместо этого он запросил созвон со своей командой по развитию бизнеса (то есть с торговыми представителями) и не согласился вернуть средства, пока мы не назовем приблизительную сумму _
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: