พบช่องโหว่บนแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัล Kraken การละเมิดทำให้ผู้โจมตีสามารถเพิ่มคุณค่าให้ตัวเองได้อย่างง่ายดาย การละเมิดทำให้เกิดความขัดแย้งระหว่างการแลกเปลี่ยนและนักวิจัยด้านความปลอดภัยที่อยู่เบื้องหลังการสอบสวน
Kraken หนึ่งในแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัลที่เก่าแก่ที่สุดกล่าวว่าตกเป็นเหยื่อของการละเมิดความปลอดภัยที่ร้ายแรง- ในโพสต์ที่เผยแพร่เมื่อบัญชีของเขา(อดีตทวิตเตอร์) Nick Percoco ผู้จัดการฝ่ายความปลอดภัยของ Kraken อธิบายว่าการแลกเปลี่ยนดังกล่าวได้รับมา“การแจ้งเตือนโปรแกรม Bug Bounty”จากนักวิจัย โปรแกรมนี้ควรส่งเสริมให้นักวิจัยและแฮกเกอร์ที่มีจริยธรรมค้นพบและรายงานช่องโหว่ในระบบของ Kraken เพื่อแลกกับการทำงานพวกเขาสามารถได้รับโบนัส
อ่านเพิ่มเติม:ในที่สุดยักษ์ใหญ่ Crypto ก็ฟื้นตัวจากความผิดพลาดของ Bitcoin
การให้เครดิตบัญชีปลอม
ตามที่นักวิจัยที่ติดต่อกับ Kraken ระบุว่าข้อผิดพลาดนี้อนุญาตเพิ่มยอดเงินในบัญชีปลอมโดยพื้นฐานแล้ว ผู้ใช้สามารถกำหนดได้ว่าบัญชีของตนได้รับเครดิตหลายล้านดอลลาร์ในทันที โดยรายละเอียดแล้ว จุดบกพร่องนี้ทำให้ผู้โจมตีเริ่มต้นได้“การฝากเงินบนแพลตฟอร์มของเราและรับเงินในบัญชีของคุณโดยไม่ต้องทำการฝากเงินให้เสร็จสิ้น”ขีดเส้นใต้ผู้จัดการ
ภายในเวลาไม่กี่นาที ทีม Kraken ได้ยืนยันการมีอยู่ของช่องโหว่แบบ Zero-day ซึ่งก็คือยังไม่ทราบแน่ชัด การแลกเปลี่ยนใช้เวลาไม่ถึงหนึ่งชั่วโมงในการแก้ไขการละเมิด เห็นได้ชัดว่าช่องโหว่นี้เกิดจากการเปลี่ยนแปลงอินเทอร์เฟซล่าสุดซึ่งไม่ได้เป็นเช่นนั้น“ผ่านการทดสอบอย่างเข้มข้น”-
Kraken ตระหนักว่าช่องโหว่นี้ถูกนำไปใช้โดยบัญชีสามบัญชีภายในไม่กี่วันจากกัน หนึ่งในบัญชีได้กรอกแบบฟอร์มเรียบร้อยแล้วKYC(รู้จักลูกค้าของคุณ) ซึ่งช่วยให้สามารถตรวจสอบตัวตนของเจ้าของได้ ซึ่งทำให้ Kraken สามารถติดตามชื่อของหนึ่งในผู้โจมตีได้ เขาเป็นนักวิจัยด้านความปลอดภัย
เขาสื่อสารเกี่ยวกับการละเมิดกับบัญชีอื่นอีกสองบัญชี Nick Percoco อธิบาย หลังจากสร้าง cryptocurrencies ปลอม พวกเขาก็ถอนตัวออกไป“เกือบ 3 ล้านดอลลาร์”จาก“จากคลังของคราเคน”การแลกเปลี่ยนอธิบายว่าได้ติดต่อกับบุคคลเพื่อจัดการการคืนเงินและการจ่ายโบนัส แพลตฟอร์มดังกล่าวอ้างว่าพบการปฏิเสธ
ความพยายามกรรโชกทรัพย์?
จากข้อมูลของ Percoco ผู้โจมตีปฏิเสธที่จะคืนเงินและเรียกร้องให้ Kraken สื่อสาร“จำนวนเงินดอลลาร์เก็งกำไร”ความเสียหายที่อาจเกิดขึ้นจากจุดบกพร่องนี้ สำหรับการแลกเปลี่ยน การสนทนาจึงกลายเป็นการพยายามขู่กรรโชก นี่คือเหตุผล“เรากำลังถือว่าเรื่องนี้เป็นเรื่องทางอาญาและกำลังประสานงานกับหน่วยงานบังคับใช้กฎหมายตามนั้น”ระบุ Kraken
มันกลับกลายเป็นว่าพนักงานของเซอร์ทิคซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ที่เชี่ยวชาญด้านบล็อกเชน อยู่เบื้องหลังการโอนเงิน ไม่นานหลังจากการตีพิมพ์ของ Nick Percoco บริษัทก็เปิดเผยว่าเป็นนักวิจัยที่เป็นผู้ค้นพบ“ชุดของช่องโหว่ที่สำคัญ”ในการดำเนินการแลกเปลี่ยน นี่เป็นส่วนหนึ่งของการทดลองที่พวกเขาโอนเงินไปนอกโครงสร้างพื้นฐานของ Kraken
“สามารถฝากเงินหลายล้านดอลลาร์เข้าบัญชี Kraken ใดก็ได้ สกุลเงินดิจิทัลจำนวนมหาศาล (มูลค่ามากกว่า 1 ล้านดอลลาร์) สามารถถอนออกจากบัญชีและแปลงเป็นสกุลเงินดิจิทัลที่ถูกต้องได้ », อธิบาย Certik
ในกระบวนการนี้ Certik ปฏิเสธอย่างหนักแน่นว่าไม่ต้องการขโมยเงินจาก Kraken ในการตีพิมพ์เรื่องเอ็กซ์ซึ่งทางบริษัทระบุว่า“ทีมปฏิบัติการรักษาความปลอดภัยคราเคน”ไม่ลังเลเลยที่จะข่มขู่ผู้เชี่ยวชาญ มีรายงานว่าทีมรักษาความปลอดภัยของการแลกเปลี่ยนเรียกร้องให้พนักงานชดใช้“จำนวน crypto ที่ไม่มีใครเทียบได้ในระยะเวลาที่ไม่สมเหตุสมผล แม้ว่าจะไม่ได้ระบุที่อยู่สำหรับการคืนเงินก็ตาม”-
ตั้งแต่คราเคน“ไม่ได้ระบุที่อยู่สำหรับการคืนเงินและจำนวนเงินที่ร้องขอไม่ตรงกัน เราจะโอนเงินตามบันทึกของเราไปยังบัญชีที่ Kraken สามารถเข้าถึงได้”,สรุปบริษัทตรวจสอบบัญชี. เพื่อความโปร่งใส Certik จึงเปิดเผยเหตุการณ์ทั้งหมด รวมถึงรายการธุรกรรมทั้งหมดที่ดำเนินการโดยนักวิจัย ตามที่สัญญาไว้ Certik จะจัดการทันทีการคืนทุน- ในโพสต์ที่สอง หัวหน้าฝ่ายความปลอดภัยของ Kraken ประกาศว่าสกุลเงินดิจิทัลที่ถูกขโมยไปได้ถูกส่งคืนแล้ว ทุกอย่างจึงกลับมาเป็นปกติ
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
