Sàn giao dịch tiền điện tử Kraken bị đánh cắp 3 triệu USD

0
0

- Sàn giao dịch tiền điện tử Kraken tiết lộ rằng một nhà nghiên cứu bảo mật ẩn danh đã khai thác lỗ hổng zero-day “cực kỳ nghiêm trọng” trong nền tảng của họ để đánh cắp 3 triệu đô la tài sản số và từ chối trả lại chúng.

Thông tin chi tiết về vụ việc đã được Giám đốc an ninh của Kraken, Nick Percoco, chia sẻ trên X (trước đây là Twitter), cho biết họ đã nhận được cảnh báo từ chương trình Bug Bounty về một lỗi "cho phép người dùng thay đổi số dư lớn hơn thực tế trên nền tảng của chúng tôi" mà không chia sẻ thêm bất kỳ thông tin chi tiết nào khác.

Công ty cho biết họ đã xác định được vấn đề bảo mật trong vòng vài phút sau khi nhận được cảnh báo, về cơ bản nó cho phép kẻ tấn công "khởi tạo một khoản tiền gửi lên nền tảng của chúng tôi và nhận tiền vào tài khoản của họ mà không cần hoàn tất quá trình nạp tiền".

Mặc dù Kraken nhấn mạnh rằng không có tài sản của khách hàng nào gặp rủi ro bởi vấn đề này, nhưng nó có thể đã cho phép tác nhân đe dọa tạo ra tài sản trong tài khoản của họ, gây thiệt hại cho hệ thống. Vấn đề đã được giải quyết trong vòng 47 phút.

 

Công ty cũng cho biết lỗi này xuất phát từ một thay đổi gần đây trong giao diện người dùng, cho phép khách hàng nạp tiền và sử dụng tiền trước khi chúng được xác nhận.

Cuộc điều tra sâu hơn đã phát hiện ba tài khoản, trong đó có một tài khoản thuộc về nhà nghiên cứu bảo mật, đã khai thác lỗ hổng này cách nhau vài ngày và bòn rút 3 triệu USD.

Percoco cho biết: “Người này đã phát hiện lỗ hổng trong hệ thống của chúng tôi và lạm dụng nó để thêm vào tài khoản của họ 4$ tiền điện tử”. “Điều này đủ để chứng minh lỗ hổng, gửi báo cáo bug bounty cho chúng tôi và thu về phần thưởng rất lớn theo các điều khoản trong chương trình của chúng tôi.”

"Thay vì làm như vậy, 'nhà nghiên cứu bảo mật' đã tiết lộ lỗi này cho hai đối tượng khác mà họ làm việc cùng. Họ đã lạm dụng lỗ hổng để rút gần 3 triệu USD từ tài khoản Kraken. Số tiền này là từ kho bạc của Kraken, không phải tài sản của khách hàng khác."

Công ty bảo mật blockchain CertiK đã đứng ra nhận trách nhiệm về vụ vi phạm trên Kraken, cho biết rằng họ đã phát hiện một số lỗ hổng nghiêm trọng khiến có thể tạo ra tiền điện tử trên bất kỳ tài khoản nào, sau đó có thể rút và chuyển đổi thành tài sản tiền điện tử hợp lệ.

Công ty cho biết “Trong vài ngày, với nhiều token giả được tạo và rút về các loại tiền điện tử hợp lệ, không có cơ chế ngăn chặn hoặc kiểm soát rủi ro nào được kích hoạt cho đến khi được CertiK báo cáo. Câu hỏi đặt ra là tại sao hệ thống phòng thủ chuyên sâu của Kraken không phát hiện được nhiều giao dịch thử nghiệm như vậy. Việc rút số tiền lớn liên tục từ các tài khoản thử nghiệm khác nhau là một phần trong thử nghiệm của chúng tôi”.

Sự phát triển này diễn ra khi Kraken cáo buộc “công ty nghiên cứu bảo mật bên thứ ba” khai thác lỗ hổng để thu lợi tài chính trước khi báo cáo.

PV (theo thehackernews.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.