آبان ۲۹, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

سرقت ۳ملیون دلار از باگ صرافی Kraken توسط محققان

صرافی کریپتو Kraken فاش کرد که محققان امنیتی از یک باگ Zero Day برای سرقت ۳ میلیون دلار ارز دیجیتال سوء استفاده کردند و سپس از بازگرداندن وجوه خودداری کردند.

این هک توسط Nick Percoco  ، افسر ارشد امنیت Kraken در X فاش شد و توضیح داد که تیم امنیتی صرافی یک گزارش باگ مبهم در ۹ ژوئن در مورد یک آسیب‌پذیری «بسیار حیاتی» دریافت کرد که به هر کسی اجازه می‌داد تا موجودی کیف پول Kraken را به راحتی افزایش دهد.

Kraken می‌گوید که آن‌ها گزارش را بررسی کردند و اشکالی را کشف کردند که به مهاجمان اجازه می‌داد به راحتی کیف پول خود را شارژ کنند.

Percoco توضیح داد: “در عرض چند دقیقه ما یک باگ مجزا را کشف کردیم. این باگ به یک مهاجم مخرب اجازه می دهد، تحت شرایط مناسب، واریز را در پلتفرم ما آغاز کند و وجوه را در حساب خود بدون تکمیل کامل سپرده دریافت کند.”

همچنین تاکید که ، دارایی های هیچ یک از مشتریان در معرض خطر نیست. با این حال، یک مهاجم مخرب می تواند به طور موثر دارایی ها را در حساب Kraken خود بالا ببرد.

Percoco می‌گوید که تیم امنیتی Kraken این نقص را ظرف یک ساعت برطرف کرد و متوجه شد که این نقص از یک تغییر رابط کاربری اخیر ناشی می‌شود که به مشتریان اجازه می‌دهد وجوه را واریز کرده و قبل از پاک شدن از آنها استفاده کنند.

پس از رفع اشکال، آنها متوجه شدند که سه کاربر از این نقض به عنوان یک آسیب پذیری zero-day برای سرقت ۳ میلیون دلار از خزانه صرافی سوء استفاده کردند.

یکی از افرادی که ادعا میکند که محقق امنیتی می باشد برای اثبات این مشکل ۴ دلار به حساب خود واریز کرد.

با این حال، Percoco می‌گوید که این اشکال برای دو نفر دیگر مرتبط با محقق فاش شده است که از آن برای برداشت ۳ میلیون دلار اضافی از وجوه سرقت‌شده از حساب‌های Kraken خود استفاده کردند.

پس از تماس با محقق در مورد این برداشت، Percoco می‌گوید که محققان از بازگرداندن رمزارز یا به اشتراک گذاشتن هرگونه اطلاعات در مورد آسیب‌پذیری آن‌طور که در افشای اشکال انتظار می‌رفت، خودداری کردند.

Percoco ادعا کرد: “در عوض، آنها خواستار تماس با تیم توسعه کسب و کار خود (یعنی نمایندگان فروش آنها) شدند و با بازگرداندن هیچ وجهی موافقت نکردند .

“این هک کلاه سفید نیست، بلکه اخاذی است!”

Percoco می‌گوید که Kraken هویت محققان را فاش نمی‌کند زیرا «آنها سزاوار شناسایی اقدامات خود نیستند».

Kraken  همچنین اعلام کرد که آنها با این موضوع به عنوان یک پرونده جنایی برخورد می کنند و به مجریان قانون اطلاع داده اند.

 

 

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب