З біржі Kraken було викрадено майже $3 млн через баг-експлойт, який вже вдалося виправити. Про це повідомляє The Block.
За словами директора з безпеки Kraken Ніка Перкоко, біржа отримала сповіщення від програми винагороди за виправлення помилок 9 червня. У повідомленні йшлося про «надзвичайно критичну» помилку, яка дозволяє зловмиснику штучно завищувати свій баланс на платформі.
Перкоко повідомив, що хоча в повідомленні не було конкретики, компанія вивчила проблему і виявила окрему помилку, яка дозволяла зловмиснику ініціювати депозит на платформі і отримати кошти на свій рахунок, не завершуючи депозит повністю. Він зазначив, що це відбувалося лише за певних обставин.
За його словами, хоча жодні клієнтські активи не були під загрозою, баг виник через недолік нещодавніх змін у користувацькому інтерфейсі, які зараховували кошти на рахунки клієнтів до того, як депозити були повністю зараховані, що дозволяло зловмиснику ефективно «друкувати активи» на своєму акаунті в Kraken протягом певного часу.
Перкоко розповів, що баг був повністю виправлений протягом декількох годин. Однак подальше розслідування показало, що його вже використали три акаунти з різницею в кілька днів один від одного.
Перкоко стверджує, що один з облікових записів був пов'язаний з особою, яка виявила баг і назвалася «дослідником безпеки». Ця особа нібито використала баг, щоб зарахувати на свій рахунок $4 – цього достатньо, щоб довести наявність помилки, подати звіт про винагороду за баг і отримати легально значні кошти.
Однак Kraken стверджує, що дослідник замість цього розкрив баг двом іншим особам, які згодом зняли з рахунків Kraken майже $3 млн.
«Це були кошти зі скарбниці Kraken, а не з активів клієнтів», - уточнив Перкоко.
Kraken – одна з найстаріших у світі біткоїн-бірж. Вона також себе позицією як та, яка за останні 12 років жодного разу не стала жертвою хакерів.
Kraken була однією з небагатьох великих бірж, яка ще зовсім недавно мала бездоганну репутацію щодо безпеки. Вона стала першою торговельною платформою, яка представила систему повного аудиту (Proof-of-Reserves). Також відомо, що біржа зберігає більшу частину своїх активів в апаратних гаманцях. Проте, як бачимо, хакери і до Kraken змогли дістатись.
Кілька тижнів тому стало відомо, що від хакерів постраждала також і швейцарська біткоїн-біржа Lykke. Внаслідок експлойту торговий майданчик втратив 156 BTC та інші криптовалюти.
Біржа також зазначила, що зараз кошти користувачів «в безпеці і будуть відновлені». Загалом Lykke втратила цифрових активів на $22 млн.