CertiK, firma zajmująca się cyberbezpieczeństwem w świecie kryptowalut, odkryła i wykorzystała poważne luki w zabezpieczeniach giełdy Kraken, co mogło doprowadzić do strat rzędu setek milionów dolarów.
- CertiK odkrył krytyczne luki w zabezpieczeniach Krakena, które pozwoliły na wyprowadzenie około 3 milionów dolarów,
- Exploit umożliwił sfabrykowanie transakcji, a system bezpieczeństwa Krakena nie zareagował na czas.
Wykrycie i wykorzystanie exploita
9 czerwca br. giełda Kraken otrzymała zgłoszenie o luce w zabezpieczeniach w ramach programu Bug Bounty.
Badacze, którzy znaleźli exploit, zamiast podzielić się szczegółami, wykorzystali błąd, aby wypłacić około 3 miliony dolarów z kont giełdy.
Kraken Security Update:
On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
Dyrektor ds. bezpieczeństwa Kraken, Nick Percoco, poinformował, iż hakerzy zażądali za ujawnienie informacji większej kwoty, niż sugerował program nagród, argumentując to wysokim stopniem zagrożenia.
Opis exploita
Według raportu od CertiK exploit umożliwił sfabrykowanie transakcji polegającej na dokonaniu wpłaty na konto giełdowe, a następnie wypłaty otrzymanych środków.
Co gorsza, podczas kilkudniowego testowania exploita na giełdzie nie aktywował się ani jeden alert bezpieczeństwa. Dopiero kilka dni po oficjalnym zgłoszeniu incydentu, Kraken zareagował i zawiesił konta próbne.
Transparency is important to the community. We are disclosing all testing deposit transactions here: pic.twitter.com/8RpzRX42E9
— CertiK (@CertiK) June 19, 2024
CertiK załączył zrzut ekranu ze wszystkimi fałszywymi wpłatami i wypłatami. Zespół ds. bezpieczeństwa Krakena sklasyfikował exploit jako krytyczny i natychmiast rozpoczął pracę nad jego naprawieniem.
Mimo to, zgodnie z doniesieniami od CertiK, zespół bezpieczeństwa Krakena zarzucał poszczególnym pracownikom wspomnianej firmy wypłatę kryptowalut, nie podając przy tym konkretnych adresów do ich zwrotu.
Reakcja Krakena i dalsze kroki
Kraken od początku incydentu odbył kilka wideokonferencji z CertiK.
Firma CertiK obiecała zwrócić wszystkie zasoby uzyskane podczas testów podatności, jednak wskazała na brak adresów realizacji oraz błędne obliczenia kwot.
CertiK przekazał środki na konto, do którego wspomniana platforma handlowa ma dostęp, co nie miało wpływu na fundusze użytkowników. Mimo to, analitycy wyrazili obawy dotyczące słabego systemu bezpieczeństwa giełdy, który nie reagował ani na fałszywy depozyt, ani na dużą wypłatę środków.
Podobne incydenty na innych giełdach
Warto wspomnieć, iż Kraken nie jest jedyną giełdą, która padła ofiarą ataku.
Giełda OKX ujawniła szczegóły dotyczące serii włamań na konta, gdzie hakerzy sfabrykowali dokumenty i ominęli dodatkowe mechanizmy bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe (2FA).
Ponadto, 3 czerwca br. atakujący przejął kontrolę nad kontem chińskiego tradera na Binance bez hasła i dostępu do 2FA, wypłacając aktywa o wartości 1 miliona dolarów.
