แพลตฟอร์มการซื้อขาย Cryptocurrency Kraken ได้รายงานการหาประโยชน์น้อยกว่าสองสัปดาห์ที่ผ่านมาซึ่งเห็นว่าสูญเสียเกือบ 3 ล้านดอลลาร์ในการโจมตีที่เกี่ยวข้องกับบั๊ก
เหตุการณ์ดังกล่าวเน้นย้ําถึงความไม่มั่นคงและความเปราะบางที่ยังคงรบกวนอุตสาหกรรม
Kraken สูญเสียเงิน 3 ล้านดอลลาร์ในการโจมตีด้วยบั๊ก
Kraken เปิดเผยการโจมตีของบั๊กเมื่อวันที่ 9 มิถุนายน ซึ่งเห็นผู้ไม่หวังดีทําเงินได้เกือบ 3 ล้านดอลลาร์ ตามรายงานที่แบ่งปันโดย Nick Percoco หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Kraken การแลกเปลี่ยนได้รับการแจ้งเตือนโปรแกรมรางวัลบั๊ก
เมื่อวันที่ 9 มิถุนายน 2024 เราได้รับการแจ้งเตือนโปรแกรม Bug Bounty จากนักวิจัยด้านความปลอดภัย ไม่มีการเปิดเผยข้อมูลเฉพาะในตอนแรก แต่อีเมลของพวกเขาอ้างว่าพบข้อบกพร่องที่ สําคัญมาก ซึ่งทําให้พวกเขาสามารถขยายยอดคงเหลือบนแพลตฟอร์มของเราได้อย่างเทียม Percoco กล่าวใน โพสต์ เมื่อวันพุธ
CSO ตั้งข้อสังเกตว่าการสอบสวนเพิ่มเติมเผยให้เห็นข้อบกพร่องที่แยกได้ซึ่งทําให้ผู้ไม่หวังดีได้รับสิทธิพิเศษ โดยเฉพาะอย่างยิ่ง พวกเขาสามารถเริ่มต้นการฝากเงินใน Kraken Exchange และรับเงินในบัญชีของพวกเขาแม้ว่าพวกเขาจะยังฝากเงินไม่ครบถ้วนก็ตาม
อ่านเพิ่มเติม Kraken Review 2024 ความปลอดภัยและคุณสมบัติ
การวิเคราะห์ทางนิติวิทยาศาสตร์เผยให้เห็นช่องโหว่ในการเปลี่ยนแปลง UX ล่าสุดบนแพลตฟอร์มของ Kraken ข้อบกพร่องนี้ทําให้ผู้โจมตีที่เป็นอันตรายสามารถพิมพ์เนื้อหาในบัญชีของตนได้เป็นระยะเวลาหนึ่ง ที่สําคัญไม่มีทรัพย์สินของลูกค้าถูกบุกรุกและปัญหาได้รับการแก้ไขแล้ว อย่างไรก็ตาม การสอบสวนในภายหลังพบว่าบัญชีสามบัญชีได้ใช้ประโยชน์จากจุดบกพร่องภายในสองสามวันจากกัน
หลังจากแก้ไขความเสี่ยงแล้ว เราได้ตรวจสอบสถานการณ์อย่างละเอียดและค้นพบอย่างรวดเร็วว่า 3 บัญชีได้ใช้ประโยชน์จากข้อบกพร่องนี้ภายในเวลาไม่กี่วันจากกัน เมื่อเราขุดลึกลงไปเราสังเกตเห็นว่าบัญชีหนึ่งเป็น KYC ให้กับบุคคลที่อ้างว่าเป็นนักวิจัยด้านความปลอดภัย Percoco กล่าว
นักวิจัยด้านความปลอดภัยค้นพบข้อบกพร่องในระบบการระดมทุนของ Kraken และให้เครดิตบัญชีของพวกเขาด้วยสกุลเงินดิจิทัล 4 ดอลลาร์ จํานวนนี้เพียงพอที่จะแสดงให้เห็นถึงข้อบกพร่องและยื่นรายงานค่าหัวบั๊ก ซึ่งจะได้รับรางวัลสําคัญภายใต้โปรแกรมของ Kraken
นักวิจัยได้แบ่งปันข้อผิดพลาดนี้กับเพื่อนร่วมงานสองคน ซึ่งใช้ประโยชน์จากมันเพื่อสร้างเงินก้อนใหญ่กว่ามากโดยฉ้อฉล การสมรู้ร่วมคิดนี้นําไปสู่การสูญเสียเกือบ 3 ล้านดอลลาร์ ซึ่งนํามาจากคลังของ Kraken แทนที่จะเป็นทรัพย์สินของลูกค้า
อ่านเพิ่มเติม ข้อบกพร่อง 5 อันดับแรกในการรักษาความปลอดภัย Crypto และวิธีหลีกเลี่ยง
เหตุการณ์ดังกล่าวจบลงด้วยกรณีการกรรโชกหลังจากที่แพลตฟอร์มการซื้อขาย Crypto พยายามกู้คืนเงินทุนจากนักวิจัย Kraken ขอบัญชีเต็มรูปแบบเกี่ยวกับกิจกรรมของนักวิจัย รวมถึงการพิสูจน์แนวคิดที่ใช้ในการสร้างกิจกรรมบนเครือข่ายและการเตรียมการเพื่อคืนเงินที่ถอนออก
นักวิจัยด้านความปลอดภัยเหล่านี้ปฏิเสธ แต่พวกเขาต้องการโทรศัพท์กับทีมพัฒนาธุรกิจของพวกเขาและยังไม่ได้ตกลงที่จะคืนเงินใด ๆ จนกว่าเราจะให้จํานวนเงินดอลลาร์ที่คาดเดาไว้ซึ่งข้อผิดพลาดนี้อาจเกิดขึ้นหากพวกเขาไม่ได้เปิดเผย นี่ไม่ใช่การแฮ็กหมวกขาว แต่เป็นการกรรโชกเพอร์โคโคไม่พอใจ
Kraken จึงหันไปปฏิบัติต่อเหตุการณ์ดังกล่าวเป็นคดีอาญา โดยมุ่งมั่นที่จะประสานงานกับหน่วยงานบังคับใช้กฎหมาย บริษัทวิจัยยังไม่เปิดเผย
Trusted
ข้อจำกัดความรับผิด
หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ
