Sàn giao dịch tiền điện tử Kraken đã tiết lộ chi tiết về vụ việc bị khai thác gần 3 triệu USD do lỗi bảo mật, đồng thời khẳng định sẽ truy tố cá nhân được cho là "nhà nghiên cứu bảo mật" đã lợi dụng lỗ hổng này
Ông Nick Percoco xác định lỗi này xuất phát từ một bản cập nhật UX gần đây, khiến cho hệ thống tự động ghi có vào tài khoản, trước khi tài sản thực tế được gửi đến sàn giao dịch.
We triaged this vulnerability as Critical and within an hour, 47 minutes to be exact, our team of experts had mitigated the issue. Within a few hours, the issue was completely fixed and could not reoccur again.
— Nick Percoco (@c7five) June 19, 2024
Diễn biến chính:
- Lỗ hổng: Kraken bị lỗi kỹ thuật cho phép kẻ tấn công tạo số dư giả và rút tiền mà không cần hoàn tất giao dịch. Lỗi này xuất phát từ thay đổi giao diện người dùng (UX) gần đây.
- Khai thác: Lỗ hổng bị ba tài khoản khai thác, trong đó một tài khoản được xác định là của "nhà nghiên cứu bảo mật".
- Số tiền bị đánh cắp: Gần 3 triệu USD được rút từ kho bạc của Kraken, không ảnh hưởng đến tài sản khách hàng.
- Hành vi của "nhà nghiên cứu bảo mật": Thay vì báo cáo lỗi theo quy trình, cá nhân này đã lợi dụng lỗi để kiếm tiền và sau đó tiết lộ cho hai người khác, dẫn đến vụ khai thác quy mô lớn.
- Phản ứng của Kraken: Kraken đã sửa lỗi, yêu cầu "nhà nghiên cứu bảo mật" hoàn trả tiền nhưng bị từ chối. Sàn giao dịch cáo buộc hành vi tống tiền và đang phối hợp với cơ quan thực thi pháp luật để truy tố.
Vụ việc này là lời cảnh tỉnh cho các sàn giao dịch tiền điện tử về tầm quan trọng của việc bảo mật. Các sàn cần có quy trình kiểm tra kỹ lưỡng để phát hiện và sửa chữa lỗi sớm nhất có thể. Người dùng cũng nên cẩn thận với các "nhà nghiên cứu bảo mật" có hành vi đáng ngờ và báo cáo họ cho các cơ quan chức năng nếu cần thiết.