Популярная криптобиржа Kraken сообщила о похищении $3 миллионов из-за критической уязвимости нулевого дня. Неожиданно эту уязвимость обнаружил исследователь безопасности, который решил воспользоваться ею сам, а затем поделился информацией с другими злоумышленниками.
Главный директор безопасности Kraken Ник Перкоко рассказал, что уязвимость позволяла искусственно увеличивать баланс на платформе путем инициирования депозита и получения средств без полного завершения. Хотя активы клиентов не пострадали, проблема могла позволить злоумышленнику создавать новые активы на своих счетах.
Уязвимость возникла из-за недавнего изменения интерфейса, которая позволяла клиентам использовать внесенные средства до их полной очистки. Компания быстро проявила мошенническую активность и устранила проблему за рекордные 47 минут.
Расследование показало, что уязвимостью воспользовались три пользователя, включая исследователя, который первым обнаружил баг и использовал его для зачисления $4 на свой счет. Вместо того чтобы сообщить об уязвимости в рамках программы вознаграждений, он поделился информацией с двумя другими лицами, выведшими с биржи почти 3 миллиона долларов.
Kraken обратилась к злоумышленникам с просьбой вернуть украденные средства, но они потребовали выкуп. Компания расценила это как вымогательство и сотрудничает с правоохранительными органами по расследованию инцидента.
