ในฐานะนักวิจัยที่มีประสบการณ์กว้างขวางในด้านความปลอดภัยทางไซเบอร์และเทคโนโลยีบล็อคเชน ฉันพบว่าเหตุการณ์ล่าสุดที่เกี่ยวข้องกับการแลกเปลี่ยน Kraken เป็นเรื่องที่น่ากังวลอย่างยิ่ง ความจริงที่ว่าข้อบกพร่องด้านความปลอดภัยที่สำคัญถูกนำไปใช้ประโยชน์ ซึ่งส่งผลให้มีการขโมยสินทรัพย์ดิจิทัลมูลค่า 3 ล้านดอลลาร์ เป็นเรื่องที่น่าตกใจ อย่างไรก็ตาม สิ่งที่ทำให้สถานการณ์นี้น่าหนักใจยิ่งขึ้นไปอีกก็คือความพยายามขู่กรรโชกที่ชัดเจนของทีมวิจัย
เมื่อไม่กี่วันที่ผ่านมา Kraken ซึ่งเป็นบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลที่มีชื่อเสียง เปิดเผยว่าพวกเขาได้รับความเดือดร้อนจากการละเมิดความปลอดภัยที่สำคัญ น่าเสียดายที่เหตุการณ์นี้ทำให้กลุ่มวิจัยยักยอกสินทรัพย์ดิจิทัลประมาณ 3 ล้านดอลลาร์จากแพลตฟอร์มในทางที่ผิด
เมื่อวันที่ 9 มิถุนายน รายงานความผิดพลาดได้ถูกส่งไปยังทีมงานของเหตุการณ์ผ่านโปรแกรม Bug Bounty Program ของบริษัทโดยบุคคลที่ระบุว่าตัวเองเป็นนักวิจัยด้านความปลอดภัย เขาอ้างว่าเขาได้ค้นพบปัญหาสำคัญ ซึ่งทำให้เขาสามารถเพิ่มยอดเงินในบัญชีของเขาบนแพลตฟอร์มได้อย่างไม่ถูกต้อง
การพัฒนาที่ไม่คาดคิดในสถานการณ์เกิดขึ้นเมื่อพบว่าผู้วิจัยและทีมงานได้ใช้ประโยชน์จากจุดอ่อนเพื่อชดเชยด้วยเงินทุนจำนวนมาก เพื่อเป็นการตอบสนอง Kraken ได้เริ่มการสอบสวนทางอาญาเกี่ยวกับการประพฤติมิชอบนี้ และกำลังร่วมมือกับหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องเพื่อจัดการกับสถานการณ์
Kraken เผชิญความพยายามกรรโชกทรัพย์
ในฐานะนักวิจัยที่กำลังสืบสวนเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ฉันเล่าว่าเมื่อได้รับรายงานเบื้องต้นเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น Nick Percoco หัวหน้าฝ่ายรักษาความปลอดภัยของ Kraken ได้จัดตั้งทีมสหสาขาวิชาชีพทันทีเพื่อเจาะลึกเรื่องนี้และดำเนินการสอบสวนอย่างละเอียด
ในฐานะนักวิจัย ฉันได้ระบุปัญหาในระบบอย่างรวดเร็วซึ่งผู้ประสงค์ร้ายสามารถฝากเงิน รับเงินได้สำเร็จก่อนการทำธุรกรรมเสร็จสิ้น และสร้างสินทรัพย์ชั่วคราวในบัญชี Kraken
ทีมงานระบุช่องโหว่ที่สำคัญและแก้ไขทันทีภายในหนึ่งชั่วโมง เพื่อป้องกันการเกิดซ้ำ ปัญหานี้เกิดขึ้นจากฟีเจอร์ประสบการณ์ผู้ใช้ใหม่ (UX) ที่เปิดใช้งานการซื้อขาย crypto แบบเรียลไทม์ก่อนการเคลียร์สินทรัพย์ ซึ่งไม่ได้ผ่านการทดสอบที่ครอบคลุมสำหรับสถานการณ์ภัยคุกคามนี้โดยเฉพาะ
พบว่ามีบัญชีสามบัญชีที่ใช้ช่องโหว่ที่ระบุภายในกรอบเวลาอันสั้น หนึ่งในบัญชีเหล่านี้เชื่อกันว่าเป็นของบุคคลที่แสดงตนเป็นนักวิจัยด้านความปลอดภัย ซึ่งเปิดเผยข้อผิดพลาดและได้รับสกุลเงินดิจิทัลจำนวนน้อยที่สุดเป็นการตอบแทนเพื่อเป็นข้อพิสูจน์ถึงปัญหา
ในฐานะนักวิเคราะห์ ฉันค้นพบช่องโหว่ที่สำคัญในระบบของ Kraken ที่อาจถูกนำมาใช้เพื่อรับรางวัลรางวัลจากข้อผิดพลาดจำนวนมาก อย่างไรก็ตาม แทนที่จะรายงานการค้นพบนี้ด้วยความรับผิดชอบ ฉันเลือกที่จะบอกความลับกับเพื่อนร่วมงานสองคนแทน น่าเสียดายที่บุคคลเหล่านี้ใช้ประโยชน์จากสถานการณ์และจัดการระบบเพื่อสร้างจำนวนเงินที่มากกว่าที่ครบกำหนดโดยชอบธรรม ในท้ายที่สุด เราทั้งสามคนก็ถอนเงินจำนวน 3 ล้านเหรียญออกจากคลังของ Kraken
เมื่อ Kraken ขอเงินคืน นักวิจัยปฏิเสธ โดยยืนกรานที่จะพูดคุยกับทีมพัฒนาธุรกิจของตน และเสนอการสูญเสียโดยประมาณที่อาจเกิดข้อผิดพลาดที่ไม่ปรากฏหลักฐานหากปกปิดไว้
การดำเนินการทางกฎหมายกับบริษัทวิจัย
ในคำแถลง Kraken ประณามวิธีการที่ทีมงานของเราใช้ โดยระบุว่าการกระทำของเราเป็น “การขู่กรรโชก” แทนที่จะมองว่าเป็นแนวทางปฏิบัติในการแฮ็กอย่างมีจริยธรรม
เป็นเวลาเกือบหนึ่งทศวรรษที่การแลกเปลี่ยนได้ดำเนินโครงการ Bug Bounty ซึ่งไม่มีปัญหากับนักวิจัยที่แท้จริงและปฏิบัติตามแนวทางที่กำหนดไว้อย่างสม่ำเสมอ กฎเหล่านี้รวมถึงการหลีกเลี่ยงการแสวงหาประโยชน์เกินกว่าขั้นต่ำที่จำเป็นสำหรับการตรวจสอบ การนำเสนอการสาธิตการทำงานของข้อบกพร่อง และการกู้คืนทรัพย์สินที่ถูกยึดทันที
หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของการแลกเปลี่ยน Kraken กล่าวว่าพวกเขาถือว่าเหตุการณ์ล่าสุดเป็นเรื่องทางอาญา และขณะนี้กำลังร่วมมือกับหน่วยงานบังคับใช้กฎหมายในการสืบสวนของพวกเขา แม้ว่าพวกเขาจะรับทราบรายงานแล้ว แต่ Kraken วางแผนที่จะเริ่มดำเนินคดีทางกฎหมายกับบริษัทวิจัยที่รับผิดชอบต่อเหตุการณ์ดังกล่าว
Sorry. No data so far.
2024-06-20 03:11