Популярна криптобіржа Kraken повідомила про викрадення $3 мільйонів через критичну вразливість нульового дня. Несподівано, цю вразливість виявив дослідник безпеки, який вирішив скористатися нею сам, а потім поділився інформацією з іншими зловмисниками.
Головний директор безпеки Kraken Нік Перкоко розповів, що вразливість дозволяла штучно збільшувати баланс на платформі шляхом ініціювання депозиту та отримання коштів без його повного завершення. Хоча активи клієнтів не постраждали, проблема могла дозволити зловмисникові створювати нові активи на своїх рахунках.
Вразливість виникла через нещодавню зміну інтерфейсу, яка дозволяла клієнтам використовувати внесені кошти до їх повного очищення. Компанія швидко виявила шахрайську активність та усунула проблему за рекордні 47 хвилин.
Розслідування показало, що вразливістю скористалися троє користувачів, включаючи дослідника, який першим виявив баг та використав його для зарахування $4 на свій рахунок. Замість того, щоб повідомити про вразливість в рамках програми винагород, він поділився інформацією з двома іншими особами, які вивели з біржі майже 3 мільйони доларів.
Kraken звернулася до зловмисників з проханням повернути вкрадені кошти, але вони вимагали викуп. Компанія розцінила це як здирство та співпрацює з правоохоронними органами для розслідування інциденту.
