Стало відомо, як криптовалютному хакеру вдалось викрасти $ 3 мільйони всього за 47 хвилин

Популярна криптобіржа Kraken повідомила про крадіжку $ 3 мільйонів через критичну вразливість нульового дня, яку виявив неназваний дослідник безпеки і сам нею скористався. Нік Перкоко, головний директор безпеки Kraken, розповів, що вразливість дозволила недобросовісному досліднику штучно збільшувати баланс на платформі.

Компанія швидко виявила шахрайську активність, що дозволяла ініціювати депозит та отримувати кошти без його повного завершення. Попри те, що активи клієнтів не постраждали, проблема могла дозволити зловмисникові створювати нові активи на своїх рахунках.

Як повідомляється, проблема виникла через нещодавню зміну інтерфейсу, який дозволяв клієнтам використовувати внесені кошти до їх повного очищення. Розслідування показало, що вразливістю скористалися троє користувачів, включаючи горе-дослідника. А усунуто її було за рекордні 47 хвилин.

Перкоко уточнив, що вищевказаний дослідник першим виявив баг і використав його для зарахування $ 4 на свій рахунок. Він міг би повідомити про нього в рамках програми винагород та отримати солідну виплату, проте вирішив поділитися знахідкою з двома іншими особами, які згенерували набагато більші суми та вивели з біржі майже 3 мільйони доларів.

Коли Kraken попросила повернути вкрадені кошти, зловмисники вимагали зв’язатися з їхньою командою для сплати викупу. Компанія розцінила цей крок як здирство, тому розглядає інцидент як кримінальну справу та співпрацює з правоохоронними органами.