Kraken Crypto Borsası, güvenlik araştırmacılarının kripto para biriminde 3 milyon dolarlık bir sıfır gün web sitesi hatasını kullandıklarını iddia ettiğini ve daha sonra fonları iade etmeyi reddettiğini açıkladı.
Hack, Kraken Baş Güvenlik Sorumlusu Nick Percoco tarafından X üzerinde açıklandı ve borsanın güvenlik ekibinin 9 Haziran'da kimsenin Kraken cüzdanındaki bakiyeleri yapay olarak artırmasına izin veren "son derece kritik" bir kırılganlık hakkında belirsiz bir hata raporu aldığını açıkladı.
Kraken, raporu araştırdıklarını ve saldırganların mevduat başarısız olsa bile mevduat başlatmasına ve fon almasına izin veren bir hata keşfettiklerini söyledi.
Percoco, "Birkaç dakika içinde izole bir hata keşfettik. Bu, doğru koşullar altında kötü niyetli bir saldırganın platformumuza depozito başlatmasına ve depozitoyu tam olarak tamamlamadan hesaplarında fon almasına izin verdi."
"Açık olmak gerekirse, hiçbir müşterinin varlıkları hiç risk altında değildi. Ancak, kötü niyetli bir saldırgan varlıkları Kraken hesaplarında etkili bir şekilde yazdırabilir."
Percoco, Kraken güvenlik ekibinin kusuru bir saat içinde sabitlediğini ve müşterilerin temizlenmeden önce fon yatırmasına ve bunları kullanmasına izin veren yeni bir kullanıcı arayüzü değişikliğinden kaynaklandığını keşfettiğini söyledi.
İşler garip bir dönüş burada.
Hatayı düzelttikten sonra, üç kullanıcının borsanın hazinesinden 3 milyon dolar çalmak için sıfır gün olarak sömürdüğünü keşfettiler.
Bir üye, araştırmacı olduğunu iddia eden, hatayı kanıtlamak için hesaplarına 4 $ kripto yatırmak için kullanan bir kişiyle bağlantılıydı.
Bununla birlikte, Percoco, hatanın Kraken hesaplarından çalıntı fonlarda 3 milyon dolar daha çekilmesi için kullanan araştırmacı ile ilişkili iki kişiye açıklandığını söylüyor.
Araştırmacı ile bu geri çekilme konusunda temasa geçtikten sonra Percoco, araştırmacıların kriptoyu iade etmeyi veya bir hata açıklamasında beklendiği gibi güvenlik açığı hakkında herhangi bir bilgiyi paylaşmayı reddettiğini söylüyor.
Percoco, "Bunun yerine, iş geliştirme ekibiyle (yani satış temsilcileri) bir çağrı talep ettiler ve bu hatanın açıklamamış olsaydı neden olabileceği spesifik bir $ tutarını sağlayana kadar herhangi bir fon iade etmeyi kabul etmediler."
"Bu beyaz şapka hackleme değil, gasp!"
Percoco, Kraken'in araştırmacıların kimliğini "eylemleri için tanınmayı hak etmiyorlar" olarak açıklamadığını söylüyor.
Kraken şimdi bunu ceza davası olarak ele aldıklarını ve kolluk kuvvetlerini bilgilendirdiklerini söylüyor.
BleepingComputer daha fazla bilgi için Kraken ile iletişime geçti ve bir yanıt alırsak hikayeyi güncelleyecek.
Tiktok, yüksek profilli hesapları kaçırmak için kullanılan sıfır gün hatasını düzeltir
QNAP QTS Sıfır Günündeki Paylaşım Özelliği Halka Giriyor RCE istismar
D-Link Exo AX4800 yönlendiriciler
Sinyal, sıfır gün hatasının gerçek olduğuna dair bir kanıt olmadığını söylüyor
SMS saldırısına açık endüstriyel IoT cihazlarında yaygın olarak kullanılan modemler
Kaynak: Bleeping Computer