Sàn giao dịch tiền điện tử Kraken bị đánh cắp 3 triệu USD thông qua khai thác lỗ hổng zero-day

Sàn giao dịch tiền điện tử Kraken tiết lộ rằng một nhà nghiên cứu bảo mật ẩn danh đã khai thác lỗ hổng zero-day “cực kỳ nghiêm trọng” trong nền tảng của họ để đánh cắp 3 triệu đô la tài sản số và từ chối trả lại chúng.

Thông tin chi tiết về vụ việc đã được Giám đốc an ninh của Kraken, Nick Percoco, chia sẻ trên X (trước đây là Twitter), cho biết họ đã nhận được cảnh báo từ chương trình Bug Bounty về một lỗi "cho phép người dùng thay đổi số dư lớn hơn thực tế trên nền tảng của chúng tôi" mà không chia sẻ thêm bất kỳ thông tin chi tiết nào khác.

Công ty cho biết họ đã xác định được vấn đề bảo mật trong vòng vài phút sau khi nhận được cảnh báo, về cơ bản nó cho phép kẻ tấn công "khởi tạo một khoản tiền gửi lên nền tảng của chúng tôi và nhận tiền vào tài khoản của họ mà không cần hoàn tất quá trình nạp tiền".

Mặc dù Kraken nhấn mạnh rằng không có tài sản của khách hàng nào gặp rủi ro bởi vấn đề này, nhưng nó có thể đã cho phép tác nhân đe dọa tạo ra tài sản trong tài khoản của họ, gây thiệt hại cho hệ thống. Vấn đề đã được giải quyết trong vòng 47 phút.

Công ty cũng cho biết lỗi này xuất phát từ một thay đổi gần đây trong giao diện người dùng, cho phép khách hàng nạp tiền và sử dụng tiền trước khi chúng được xác nhận.

Cuộc điều tra sâu hơn đã phát hiện ba tài khoản, trong đó có một tài khoản thuộc về nhà nghiên cứu bảo mật, đã khai thác lỗ hổng này cách nhau vài ngày và bòn rút 3 triệu USD.

Percoco cho biết: “Người này đã phát hiện lỗ hổng trong hệ thống của chúng tôi và lạm dụng nó để thêm vào tài khoản của họ 4$ tiền điện tử”. “Điều này đủ để chứng minh lỗ hổng, gửi báo cáo bug bounty cho chúng tôi và thu về phần thưởng rất lớn theo các điều khoản trong chương trình của chúng tôi.”

"Thay vì làm như vậy, 'nhà nghiên cứu bảo mật' đã tiết lộ lỗi này cho hai đối tượng khác mà họ làm việc cùng. Họ đã lạm dụng lỗ hổng để rút gần 3 triệu USD từ tài khoản Kraken. Số tiền này là từ kho bạc của Kraken, không phải tài sản của khách hàng khác."

CertiK đứng ra nhận trách nhiệm

Công ty bảo mật blockchain CertiK đã đứng ra nhận trách nhiệm về vụ vi phạm trên Kraken, cho biết rằng họ đã phát hiện một số lỗ hổng nghiêm trọng khiến có thể tạo ra tiền điện tử trên bất kỳ tài khoản nào, sau đó có thể rút và chuyển đổi thành tài sản tiền điện tử hợp lệ.

Công ty cho biết “Trong vài ngày, với nhiều token giả được tạo và rút về các loại tiền điện tử hợp lệ, không có cơ chế ngăn chặn hoặc kiểm soát rủi ro nào được kích hoạt cho đến khi được CertiK báo cáo. Câu hỏi đặt ra là tại sao hệ thống phòng thủ chuyên sâu của Kraken không phát hiện được nhiều giao dịch thử nghiệm như vậy. Việc rút số tiền lớn liên tục từ các tài khoản thử nghiệm khác nhau là một phần trong thử nghiệm của chúng tôi."

Sự phát triển này diễn ra khi Kraken cáo buộc “công ty nghiên cứu bảo mật bên thứ ba” khai thác lỗ hổng để thu lợi tài chính trước khi báo cáo.

Nguồn: thehackernews.com.