Giełda crypto Kraken Exchange traci 3 miliony dolarów przez buga!

Kraken Exchange przeżyło w ostatnich dniach historię rodem z filmów hakerskich z przełomu stulecia. 9 czerwca otrzymali wiadomość od życzliwego “badacza bezpieczeństwa” z informacją, że odkrył “niezwykle krytyczny” błąd na platformie, który pozwolił mu zawyżać saldo na swoim koncie. Giełda Kraken rozpoczęła pilne poszukiwania. Bug został znaleziony, ale odkryto również brak trzech milionów dolarów na koncie!

Jak doszło do kradzieży?

Ataki hakerskie nie są niczym nowym w wirtualnym świecie. Ledwie niedawno USA oskarżała hakerów z Korei Północnej o kradzież 625 milionów dolarów. Przy takiej kwocie dzisiejsze trzy miliony mogą wyglądać jak “grosze”, jednak dla właścicieli giełdy był to wystarczający powód, żeby przez kilka dni mieć problemy z zaśnięciem.

Znaleziony bug dotyczył interfejsu giełdy, który niedawno został zmieniony na nowy i jak widać – nie został wcześniej wystarczająco szczegółowo przetestowany. W “pewnych sytuacjach” hakerzy mogli wpłacać fundusze na konto bez pełnego dokończenia procesu wpłaty. Oznaczało to, że środki nie było pobierane z ich konta, aczkolwiek już zasilały ich konto na giełdzie. Nie oznaczało to wprost kradzieży środków z kont innych ludzi, ale pozwalało na grę i wypłacanie środków, co giełda Kraken i tak by musiała pokryć.

Zespół ds. bezpieczeństwa pod przewodnictwem Nicka Percoco znalazła buga w godzinę. Niestety jak już wspomnieliśmy, dopiero w tym momencie odkryto, że pieniądze w wysokości 3 milionów dolarów już przepadły. Z racji tego, że osoby informujące o exploicie podały się za “badaczy bezpieczeństwa”, giełda Kraken Exchange zwróciła się o zwrot przejętych środków.

Takie działania zostały szybko potępione i nazwane po imieniu: wymuszeniem. Giełda ma własny program szukania bugów, który nagradza społeczność za ich wskazanie. Zasady są jednak proste: nie używaj buga więcej, niż jest to potrzebne do udowodnienia błędu, pokaż dowody swojej pracy i zwróć środki. W tej sytuacji warunki nie zostały spełnione.

W tym momencie wiemy już, że mimo wszystko historia skończyła się happy endem. Pieniądze zostały zwrócone, chociaż potrącone zostały delikatne opłaty za przelewy. Nie wiemy, czy będą jakieś dalsze kroki. Pełną historię ze wszystkimi szczegółami możecie przeczytać na X Nicka Percoco.

Kraken Security Update:

On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.

— Nick Percoco (@c7five) June 19, 2024

Czym jest “white-hat hacking”?

White-hat hacking jest znane również pod pojęciem “etycznego” hakowania. Ludzie odpowiedzialni za ten rodzaj hakowania stawiają sobie za cel pomoc w znajdowaniu i łataniu luk bezpieczeństwa, a nie wykorzystywaniu ich dla swoich korzyści. Wiele platform (jak powyższa) wprost nagradza takich ludzi, gdyż bardziej im się opłaca taki proceder niż paść ofiarą prawdziwej kradzieży.