ในฐานะนักวิเคราะห์ที่มีพื้นฐานด้านความปลอดภัยทางไซเบอร์ ฉันพบว่าประสบการณ์ล่าสุดของ Kraken เกี่ยวกับช่องโหว่แบบซีโรเดย์นั้นน่ากังวลและน่าสนใจ เวลาตอบสนองที่รวดเร็วเพื่อระบุและแก้ไขปัญหานั้นน่ายกย่อง แต่ความจริงที่ว่ามันอนุญาตให้มีการจัดการเงินทุนก่อนที่เงินฝากจะถูกเคลียร์นั้นเป็นเรื่องที่น่าหนักใจ
ในฐานะนักวิเคราะห์ตลาดสกุลเงินดิจิทัล ฉันจะอธิบายดังนี้: ฉันได้เรียนรู้ว่า Kraken ซึ่งเป็นแพลตฟอร์มการซื้อขายสกุลเงินดิจิทัลชั้นนำระดับโลก สารภาพว่าประสบกับการโจมตีทางไซเบอร์ การโจมตีนี้ใช้ประโยชน์จากช่องโหว่ที่ไม่สามารถระบุได้และเป็นประวัติการณ์ได้อย่างมีประสิทธิภาพ ส่งผลให้เกิดการโจรกรรมสกุลเงินดิจิทัลจำนวนมากซึ่งมีมูลค่าเป็นล้าน
การเปิดเผยช่องโหว่
เมื่อวันที่ 9 มิถุนายน 2024 Kraken ได้รับอีเมลจากหนึ่งในนักวิจัย Bug Bounty ที่รายงานปัญหาสำคัญกับเครือข่าย ช่องโหว่นี้ ตามที่เปิดเผยโดย Nick Percoco หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Kraken ทำให้ผู้โจมตีสามารถปลอมแปลงตัวเลขในงบดุลบนเว็บไซต์เกินกว่าเงินทุนที่มีอยู่ได้
ในฐานะนักลงทุนคริปโต ฉันพบปัญหาที่น่ากังวลซึ่งผู้โจมตีสามารถข้ามกระบวนการตรวจสอบการฝากและถอนเงินได้ พูดง่ายๆ ก็คือ พวกเขาสามารถโอนเงินเข้าและออกจากบัญชีของฉันก่อนที่เงินฝากจะได้รับการยืนยันด้วยซ้ำ ช่องโหว่นี้อาจนำไปสู่การสูญเสียทางการเงินที่สำคัญหากไม่ได้รับการแก้ไขอย่างทันท่วงที
การตอบสนองที่รวดเร็วแต่ไม่รวดเร็วเพียงพอ
ภายในเวลาเพียง 47 นาที Kraken จัดการการแจ้งเตือนอย่างรวดเร็วและแก้ไขปัญหาด้านความปลอดภัย สาเหตุที่แท้จริงได้รับการระบุถึงฟีเจอร์อินเทอร์เฟซผู้ใช้ที่เพิ่งนำมาใช้เมื่อเร็วๆ นี้ ซึ่งช่วยให้ลูกค้าสามารถประมวลผลเงินฝากและใช้เงินทุนในเวลาต่อมาก่อนที่ธุรกรรมเหล่านี้จะได้รับการยอมรับจากสำนักหักบัญชี
ในระหว่างการแทรกซึม Kraken ยืนยันว่าไม่มีเงินของลูกค้าจริงถูกยักยอก อย่างไรก็ตาม ความผิดพลาดในระบบทำให้ผู้ประสงค์ร้ายสามารถทำธุรกรรมด้วยสกุลเงินปลอมแทนได้
ในฐานะนักลงทุน crypto ฉันสังเกตเห็นรูปแบบกิจกรรมที่ผิดปกติเมื่อเร็วๆ นี้ ภายในหนึ่งสัปดาห์ บัญชีที่แตกต่างกันสามบัญชีพยายามทำธุรกรรมที่เหมือนกัน โดยแต่ละบัญชีพยายามถอนเงิน 3 ล้านดอลลาร์จากการแลกเปลี่ยน ในบรรดาบัญชีเหล่านี้ มีบัญชีหนึ่งเป็นของนักวิจัยด้านความปลอดภัยที่ได้เปิดเผยจุดบกพร่องในระบบต่อสาธารณะก่อนหน้านี้
เกี่ยวกับช่องโหว่ที่รายงานเบื้องต้นนั้น Percoco กล่าวว่าผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่ดังกล่าวได้ใช้จ่ายเพียง $4 ในสกุลเงินดิจิทัลเป็นการสาธิต อย่างไรก็ตาม การลงทุนเพียงเล็กน้อยนี้ก็เพียงพอสำหรับการส่งรายงานข้อผิดพลาดและรับรางวัล อย่างไรก็ตาม ผู้วิจัยเลือกที่จะแบ่งปันข้อมูลเฉพาะของข้อบกพร่องกับบุคคลอื่นอีกสองคนแทน พวกเขาสามารถขโมยเงินเกือบ 3 ล้านดอลลาร์จากกองทุนของ Kraken ได้
ภาวะที่กลืนไม่เข้าคายไม่ออกทางจริยธรรมหรือการขู่กรรโชก
ในฐานะนักลงทุน crypto หาก Kraken ขอให้ฉันคืนเงินที่ถูกขโมยไปและแสดงการหาประโยชน์จากการพิสูจน์แนวคิด (PoC) ฉันคงคาดหวังให้พวกเขาทำเช่นนั้นโดยไม่ต้องเรียกร้องการชำระเงินเป็นการตอบแทน ในความคิดของฉัน คำขอการชำระเงินนี้ถือเป็นการขู่กรรโชก ซึ่งขัดกับมาตรฐานทางจริยธรรมของการแฮ็กหมวกขาวที่ฉันยึดถือ
ทีมงาน Kraken กำลังจัดการกับสถานการณ์ที่อาจก่อให้เกิดอาชญากรรม และร่วมมือกับหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้อง
อ่านเพิ่มเติม: น่าตกใจ: การหลอกลวง Crypto “Pig Butchering” เพิ่มมากขึ้น! สิ่งที่คุณควรรู้
Sorry. No data so far.
2024-06-20 09:07