ในฐานะนักวิเคราะห์ที่มีประสบการณ์กว้างขวางในอุตสาหกรรมความปลอดภัยทางไซเบอร์ ฉันพบว่าเหตุการณ์ล่าสุดที่ Kraken ซึ่งเป็นการแลกเปลี่ยนสกุลเงินดิจิตอลชั้นนำเป็นเรื่องที่น่ากังวลอย่างยิ่ง การเปิดเผยว่าแฮกเกอร์หมวกขาวซึ่งในตอนแรกอ้างว่าได้ค้นพบข้อผิดพลาดร้ายแรงในระบบของ Kraken ได้ปฏิเสธที่จะส่งคืนสินทรัพย์ดิจิทัลมูลค่าประมาณ 3 ล้านดอลลาร์ที่พวกเขาขโมยมาจากคลังของแพลตฟอร์ม ถือเป็นกรณีที่ชัดเจนของการขู่กรรโชก
Nick Percoco หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Kraken เปิดเผยว่ากลุ่มแฮ็กแฮ็กแฮ็กแฮ็กที่ไม่เปิดเผยชื่อได้ปฏิเสธที่จะคืนสินทรัพย์ดิจิทัลประมาณ 3 ล้านดอลลาร์ที่พวกเขาได้รับจากการใช้ประโยชน์จากข้อบกพร่องของระบบ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เหล่านี้ค้นพบช่องโหว่และคว้าโอกาสในการดึงเงินทุนจากคลังของ Kraken อย่างไรก็ตาม แม้จะมีเจตนาทางจริยธรรม แต่พวกเขาเลือกที่จะไม่คืนทรัพย์สินที่ถูกขโมยไป
ในฐานะนักวิจัย ฉันได้พบเห็นรายการบล็อก X ที่เขียนโดย Percoco ในโพสต์เหล่านี้ เขาเน้นย้ำว่าผู้เชี่ยวชาญด้านความปลอดภัยกำลังเรียกร้องให้บริษัทแลกเปลี่ยน crypto คำนวณความสูญเสียทางการเงินที่อาจเกิดขึ้นที่อาจเกิดขึ้น หากไม่มีการเปิดเผยข้อผิดพลาดก่อนที่จะคืนเงินที่ถูกขโมยไป
นักวิจัยด้านความปลอดภัยเปิดเผย Kraken Bug
ในฐานะนักวิจัย ฉันได้พบการค้นพบที่สำคัญขณะตรวจสอบระบบความปลอดภัยของ Kraken เมื่อวันที่ 9 มิถุนายน ฉันได้ส่งรายงาน Bug Bounty ซึ่งมีรายละเอียดเกี่ยวกับช่องโหว่ที่ “สำคัญอย่างยิ่ง” ซึ่งทำให้ผู้ใช้สามารถเพิ่มยอดคงเหลือบนแพลตฟอร์มได้อย่างไม่ถูกต้อง แม้ว่า Kraken จะได้รับรายงานข้อผิดพลาดที่เป็นเท็จจำนวนมากทุกวัน แต่พวกเขาก็ให้ความสำคัญกับคำกล่าวอ้างของฉันอย่างจริงจังและจัดตั้งทีมเพื่อตรวจสอบปัญหานี้อย่างละเอียด
ในฐานะนักวิจัยในทีม ฉันค้นพบปัญหาที่บุคคลที่ไร้ศีลธรรมสามารถกระตุ้นให้มีการฝากเงินใน Kraken และต่อมาได้รับเงินเข้าบัญชีของตนเองโดยไม่ต้องดำเนินการฝากเงินให้เสร็จสิ้น ช่องโหว่นี้ไม่ได้เป็นภัยคุกคามโดยตรงต่อเงินทุนของลูกค้า แต่อนุญาตให้ผู้โจมตีสร้างสินทรัพย์ในบัญชีของตนและเริ่มการถอนเงินที่อาจดึงออกมาจากทุนสำรองของ Kraken
ในเวลาเพียงไม่ถึงสองชั่วโมง ทีมงานก็สามารถระบุและแก้ไขปัญหาที่เกิดจากปัญหา UX ในประสบการณ์ล่าสุดของ Kraken ได้ ต่อจากนั้น พวกเขาระบุว่าข้อผิดพลาดนี้ถูกใช้โดยบัญชีสามบัญชีที่แยกจากกัน หนึ่งในบัญชีเหล่านี้เกี่ยวข้องกับบุคคลที่ประกาศตัวว่าเป็นนักวิจัยด้านความปลอดภัย
ในฐานะนักลงทุน crypto ฉันเพิ่งพบข่าวที่น่ากังวล ดูเหมือนว่านักวิจัยค้นพบจุดบกพร่องในแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัลยอดนิยม และใช้ประโยชน์จากมันก่อนที่จะรายงานให้ทีมที่เหมาะสมทราบ ฉันตกใจมากที่ได้รู้ว่าในตอนแรกเขาให้เครดิตกับบัญชี Kraken ของเขาด้วยสกุลเงินดิจิทัลจำนวนเล็กน้อยประมาณ 4 ดอลลาร์ แต่แทนที่จะยื่นรายงานค่าหัวข้อบกพร่อง เขากลับแบ่งปันข้อมูลกับเพื่อนร่วมงานสองคน พวกเขาร่วมกันใช้ประโยชน์จากข้อบกพร่องนี้เพื่อถอน crypto จำนวนมากประมาณ 3 ล้านดอลลาร์ออกจากบัญชีของพวกเขา ฉันพบว่าการกระทำดังกล่าวอาจทำให้ความปลอดภัยและความน่าเชื่อถือของแพลตฟอร์มตกอยู่ในความเสี่ยงสำหรับนักลงทุนรายอื่นเช่นฉัน
Bug Bounty กลายเป็นการขู่กรรโชก
เมื่อ Kraken ติดต่อนักวิจัยด้านความปลอดภัยเพื่อขอรายละเอียดเกี่ยวกับการดำเนินการของพวกเขาและการกู้คืนทรัพย์สินที่ถูกยึดไป พวกเขาก็ปฏิเสธ แต่พวกเขากลับมองว่า Kraken นั้นไร้เหตุผลและไม่เหมาะสม และตอบโต้ด้วยการเรียกร้องให้ประเมินอันตรายที่อาจเกิดขึ้นจากความผิดพลาดที่อาจเกิดขึ้น
“ตามรายงานของ Percoco Kraken ได้รายงานเรื่องนี้ไปยังหน่วยงานบังคับใช้กฎหมาย เนื่องจากมีข้อกล่าวหาเรื่องการขู่กรรโชกที่เกี่ยวข้องในกรณีนี้”
“เกี่ยวกับเรื่องนี้ เรากำลังดำเนินการสืบสวนคดีอาญาและร่วมมือกับหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้อง เรารู้สึกขอบคุณที่เราได้รับแจ้งเรื่องนี้ แต่นั่นก็เท่าที่เรามีส่วนร่วมในสถานการณ์นี้ “
Sorry. No data so far.
2024-06-20 07:16