Sàn giao dịch tiền điện tử Kraken mất 3 triệu USD do lỗ hổng bảo mật bị khai thác

by

Sàn giao dịch tiền điện tử Kraken mất 3 triệu USD do lỗ hổng bảo mật bị khai thác

Là một nhà phân tích có kiến ​​thức nền tảng về an ninh mạng, tôi nhận thấy trải nghiệm gần đây của Kraken về lỗ hổng zero-day vừa đáng lo ngại vừa hấp dẫn. Thời gian phản hồi nhanh chóng để xác định và giải quyết vấn đề là rất đáng khen ngợi, nhưng thực tế là nó cho phép thao túng tiền trước khi tiền gửi được xóa là một vấn đề đáng lo ngại.

Với tư cách là một nhà phân tích thị trường tiền điện tử, tôi sẽ nói như thế này: Tôi được biết rằng Kraken, nền tảng giao dịch tiền điện tử hàng đầu toàn cầu, đã thú nhận đã trải qua một cuộc tấn công mạng. Cuộc tấn công này đã khai thác hiệu quả một lỗ hổng chưa xác định và chưa từng có, dẫn đến hành vi trộm cắp tiền điện tử đáng kể trị giá hàng triệu USD.

Lỗi khai thác được tiết lộ

Vào ngày 9 tháng 6 năm 2024, Kraken nhận được email từ một trong những nhà nghiên cứu Bug Bounty báo cáo một vấn đề nghiêm trọng với mạng. Lỗ hổng này, được tiết lộ bởi Giám đốc An ninh của Kraken, Nick Percoco, cho phép kẻ tấn công làm sai lệch số liệu bảng cân đối kế toán trên trang web ngoài số tiền hiện có.

Là một nhà đầu tư tiền điện tử, tôi đã gặp một vấn đề đáng lo ngại khi kẻ tấn công có thể bỏ qua quá trình xác minh tiền gửi và rút tiền. Nói một cách đơn giản hơn, họ có thể chuyển tiền vào và ra khỏi tài khoản của tôi trước khi khoản tiền gửi được xác nhận. Lỗ hổng này có thể dẫn đến tổn thất tài chính đáng kể nếu không được giải quyết kịp thời.

Phản hồi nhanh nhưng chưa đủ nhanh

Chỉ trong vòng 47 phút, Kraken đã nhanh chóng giải quyết cảnh báo và giải quyết vấn đề bảo mật. Nguyên nhân sâu xa được xác định là do tính năng giao diện người dùng được triển khai gần đây cho phép khách hàng xử lý tiền gửi và sau đó sử dụng tiền trước khi các giao dịch này được cơ quan thanh toán bù trừ công nhận.

Trong quá trình xâm nhập, Kraken khẳng định rằng không có khoản tiền thực sự nào của khách hàng bị chiếm dụng. Tuy nhiên, một trục trặc trong hệ thống đã cho phép các cá nhân độc hại giao dịch bằng tiền giả.

Là một nhà đầu tư tiền điện tử, gần đây tôi nhận thấy một mô hình hoạt động bất thường. Trong vòng một tuần, ba tài khoản khác nhau đã thực hiện một giao dịch giống hệt nhau – mỗi tài khoản cố gắng rút 3 triệu USD từ sàn giao dịch. Trong số các tài khoản này, một tài khoản thuộc về một nhà nghiên cứu bảo mật, người đã công khai tiết lộ một lỗi trong hệ thống ngay trước đó.

Liên quan đến lỗ hổng được báo cáo ban đầu, Percoco đã đề cập rằng kẻ tấn công đang tìm cách lợi dụng nó chỉ chi 4 USD cho tiền điện tử như một minh chứng. Tuy nhiên, khoản đầu tư tối thiểu này vẫn đủ để gửi báo cáo lỗi và nhận phần thưởng. Tuy nhiên, thay vào đó, nhà nghiên cứu đã chọn chia sẻ thông tin chi tiết về lỗ hổng với hai cá nhân khác. Cùng nhau, họ đã kiếm được gần 3 triệu USD từ quỹ của Kraken.

Vấn đề đạo đức hay tống tiền?

Với tư cách là một nhà đầu tư tiền điện tử, nếu Kraken yêu cầu tôi trả lại số tiền bị đánh cắp và đưa ra cách khai thác bằng chứng khái niệm (PoC), tôi sẽ mong đợi họ làm như vậy mà không yêu cầu trả lại tiền. Theo tôi, yêu cầu thanh toán này bị coi là tống tiền, đi ngược lại các tiêu chuẩn đạo đức về hack mũ trắng mà tôi đề cao.

Nhóm Kraken đang xử lý tình huống này như một tội phạm tiềm ẩn và hợp tác với các cơ quan thực thi pháp luật có liên quan.

Cũng đọc: SỐC: Lừa đảo “làm thịt lợn” tiền điện tử đang gia tăng! Bạn nên biết điều gì

2024-06-20 09:07