Размер шрифта:
Уменьшить - Увеличить +
Фон страницы:
Обычный Белый Черный Голубой
Межбуквенный интервал:
Обычный Средний Большой
Изображения:
Включить Выключить
Отключить версию для слабовидящих close
Проект Координационного центра доменов .RU и .РФ
ru
en
Назад
«Исследователи» похитили три миллиона долларов у сервиса обмена криптовалют
#киберпреступность
«Исследователи» похитили три миллиона долларов у сервиса обмена криптовалют

Крупный сервис обмена криптовалют Kraken стал жертвой весьма неприятного инцидента. Несколько дней назад специалисты по кибербезопасности Kraken получили сообщение от некоего человека, представившегося «белым» хакером. Не раскрывая подробностей, он утверждал, что программном обеспечении сервиса существует «чрезвычайно критическая» уязвимость нулевого дня, которая позволяет всем желающим фиктивно пополнять свой баланс.

Как рассказал в социальной сети X (в прошлом Twitter) директор по безопасности Kraken Ник Перкоко, специалисты сервиса немедленно приступили к проверке и действительно обнаружили уязвимость, о которой шла речь. Она стала следствием ошибки при недавнем обновлении пользовательского интерфейса. Уязвимость позволяла объявлять сумму депозита и начинать использовать заявленные средства до того, как они реально поступят на аккаунт пользователя. Таким образом, угрозы средствам пользователей Kraken не было, однако существовала серьезная угроза самому сервису: злоумышленники могли заявлять о внесении огромных сумм и тут же выводить их, используя сервис как своего рода «печатный станок» для денег.

Уязвимость была исправлена сотрудниками Kraken в течение часа после обнаружения. Но дальше началось самое неприятное. Обнаружилось, что за это время трое клиентов сервиса успели воспользоваться уязвимостью и вывести со своих аккаунтов 3 миллиона долларов в криптовалюте (которых у них, естественно, не было). И уж совсем грустно то, что эти аккаунты принадлежали исследователю, сообщившему об уязвимости и двум ассоциированным с ним лицам. Представители Kraken вступили с ним в контакт и потребовали вернуть, по сути, похищенные средства, но получили отказ. Вместо этого «исследователи» предложили оценить гипотетический ущерб, который могла бы причинить сервису уязвимость, если бы она не была раскрыта. «Это не белое хакерство, это шантаж и грабеж!», – возмущенно заявил Ник Перкоко. В Kraken отказались от дальнейших переговоров, подчеркнули, что рассматривают произошедшее как уголовное преступление, и подали заявление в правоохранительные органы.