Hacker mũ trắng từ chối trả lại 3 triệu USD bị đánh cắp từ kho bạc Kraken

by

Là một nhà phân tích có nhiều kinh nghiệm trong ngành an ninh mạng, tôi nhận thấy những diễn biến gần đây tại Kraken, một sàn giao dịch tiền điện tử hàng đầu, rất đáng lo ngại. Tiết lộ rằng các hacker mũ trắng, những người ban đầu tuyên bố đã phát hiện ra một lỗi nghiêm trọng trong hệ thống của Kraken, đã từ chối trả lại tài sản kỹ thuật số trị giá khoảng 3 triệu USD mà họ đã đánh cắp từ kho bạc của nền tảng, rõ ràng là một trường hợp tống tiền.

Nick Percoco, giám đốc an ninh của Kraken, tiết lộ rằng một tập thể hack mũ trắng giấu tên đã từ chối trả lại khoảng 3 triệu đô la tài sản kỹ thuật số mà họ có được bằng cách lợi dụng một lỗ hổng hệ thống. Các chuyên gia an ninh mạng này đã phát hiện ra lỗ hổng và nắm bắt cơ hội để trích tiền từ kho bạc của Kraken. Tuy nhiên, bất chấp ý định đạo đức của mình, họ đã chọn không trả lại tài sản bị đánh cắp.

Với tư cách là một nhà nghiên cứu, tôi đã xem qua một chuỗi các mục blog X do Percoco viết. Trong các bài đăng này, ông nhấn mạnh rằng các chuyên gia bảo mật đang thúc giục sàn giao dịch tiền điện tử tính toán tổn thất tài chính tiềm ẩn mà họ có thể phải gánh chịu nếu lỗi không được tiết lộ trước khi trả lại số tiền bị đánh cắp.

Các nhà nghiên cứu bảo mật tiết lộ lỗi Kraken

Với tư cách là một nhà nghiên cứu, tôi đã phát hiện ra một phát hiện quan trọng khi kiểm tra hệ thống bảo mật của Kraken. Vào ngày 9 tháng 6, tôi đã gửi báo cáo Bug Bounty nêu chi tiết về một lỗ hổng được cho là “cực kỳ nghiêm trọng” cho phép người dùng tăng sai số dư của họ trên nền tảng. Mặc dù Kraken nhận được rất nhiều báo cáo lỗi sai mỗi ngày nhưng họ vẫn coi trọng khiếu nại của tôi và thành lập một nhóm để điều tra vấn đề một cách kỹ lưỡng.

Với tư cách là một nhà nghiên cứu trong nhóm, tôi đã phát hiện ra một vấn đề trong đó những cá nhân vô đạo đức có thể xúi giục gửi tiền vào Kraken và sau đó nhận tiền vào tài khoản của chính họ mà không cần hoàn tất quy trình gửi tiền. Lỗ hổng này không gây ra mối đe dọa trực tiếp đối với tiền của khách hàng, nhưng nó cho phép kẻ tấn công giả mạo tài sản trong tài khoản của họ và bắt đầu rút tiền có khả năng được trích từ dự trữ của Kraken.

Chỉ trong vòng chưa đầy hai giờ, nhóm đã xác định được và giải quyết sự cố do sự cố UX gây ra trong trải nghiệm mới nhất của Kraken. Sau đó, họ xác định rằng trục trặc này đã bị ba tài khoản riêng biệt khai thác. Một trong những tài khoản này được liên kết với một cá nhân tự nhận mình là nhà nghiên cứu bảo mật.

Là một nhà đầu tư tiền điện tử, gần đây tôi đã đọc được một số tin tức đáng lo ngại. Có vẻ như một nhà nghiên cứu đã phát hiện ra lỗi trong nền tảng trao đổi tiền điện tử phổ biến và lợi dụng nó trước khi báo cáo cho nhóm thích hợp. Tôi đã bị sốc khi biết rằng ban đầu anh ấy đã ghi có vào tài khoản Kraken của mình một lượng nhỏ tiền điện tử, khoảng 4 đô la, nhưng thay vì gửi báo cáo tiền thưởng lỗi, anh ấy đã chia sẻ thông tin này với hai đồng nghiệp. Họ cùng nhau khai thác lỗ hổng này để rút một lượng tiền điện tử đáng kể, khoảng 3 triệu USD, từ tài khoản của họ. Tôi thấy lo ngại rằng những hành động như vậy có thể gây nguy hiểm cho tính bảo mật và độ tin cậy của nền tảng đối với các nhà đầu tư khác như tôi.

Bug Bounty chuyển sang tống tiền

Khi Kraken liên hệ với các nhà nghiên cứu bảo mật để hỏi thông tin chi tiết về hành động của họ và việc khôi phục tài sản bị lấy cắp, họ đã từ chối. Thay vào đó, họ coi Kraken là phi lý và không phù hợp, đồng thời phản đối yêu cầu ước tính tác hại tiềm tàng mà trục trặc có thể gây ra.

“Theo Percoco, Kraken đã báo cáo vấn đề với cơ quan thực thi pháp luật do có cáo buộc tống tiền liên quan đến vụ án này.”

“Về vấn đề này, chúng tôi đang tiếp cận vấn đề này như một cuộc điều tra hình sự và hợp tác với các cơ quan thực thi pháp luật có liên quan. Chúng tôi rất biết ơn vì sự việc đã được chúng tôi chú ý, nhưng đó chỉ là mức độ tham gia của chúng tôi vào tình huống này. “

2024-06-20 07:16